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(54) TERMINAL ET SYSTEME POUR LA MISE EN OEUVRE DE TRANSACTIONS ELECTRON IQUES SECURISEES. 

(57) Ce terminal comprend un module terminal (1) et un 
dispositif personnel de securite (31). Le terminal (1) est / 
adapte pour recevoir des requetes d'une application (Fap) i i 

implantee sur une unite electronique sous la forme de re- 
quetes de haut niveau independantes du module (1 ) et dudit 
dispositif personnel de securite (31 ). 

Uun au moins du module terminal (1 ) et du dispositif per- 
sonnel de securite (31) comprend une memoire reprogram- 
mable de stockage et des moyens d'execution d'un logiciel 
filtre (F) traduisant les requetes de haut niveau en sequen- 
ces d'echange de donnees entre le module terminal (1) et 
I'utiiisateurvia et en sequences de commandes elementai- 
res executables par le dispositif personnel de securite, ainsi 
que des moyens de protection dudit logiciel filtre (F, 62), 
pour empecher toute modification dudit logiciel par une per- 
sonne non autorisee. Le logiciel filtre comprend des moyens 
cfidentification et / ou d'authentification de I'origine des re- 
quetes emises par ladite application (Fap) implantee dans 
ladite unite. 
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La presente invention concerne un terminal ct un systeme pour la 
mise en oeuvre de transactions electroniques securisees. 

Les rcscaux publics de transmission de donnees numeriques, tels 
que le reseau Internet, connaissent un developpement considerable. 
5 Cependant, Tun des freins qui limitent actuellement la mise en oeuvre de 
transactions electroniques securisees sur ce type de reseau reside dans 
Tinsuffisance des mecanismes de securite associes a de telles transactions, 
insuffisance qui se traduit par un manque de confiance des utilisateurs et 
operateurs de reseaux. 
10 Au sens de la presente demande : 

- une transaction electronique designe un echange d'iraformations, 
via un reseau public de transmission de donnees numeriques ou de 
telecommunications, soit entre deux ou plusieurs utilisateurs, soit entre un 
utilisateur et un fournisseur de services, 

15 - une fonction est un traitement effectue dans l'objectif de rendre un 

service a un utilisateur, 

- une application designe un ensemble coherent de services et de 
fonctions, 

- Texpression logiciel duplication designe le ou les logiciels 
20 necessaires pour mettre en oeuvre les fonctions relatives a une application 

donnee, 

- une transaction securisee est une transaction pour laquelle 
ccrtaines mesures de securite sont prises, a savoir l'authentification des 
entites participant a la transaction, Tintegrite, la con fide ntialitc, 

25 Tauthenticite, ct eventuellement la non repudiation des echanges et 

operations effectuecs dans 1c cadre de la transaction. 

De nombreuses applications necessitent que les transactions 

electroniques mises en oeuvre soient securisees. II s'agit par exemple du 

controle d'acces a des ressources informatiques ou similaires, de la banque 
30 a domicile (consultation, rnouvements de comptes bancaires, etc... par 

Tintermediaire du reseau telephonique ou d'Internet), du commerce 
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elcctronique (achat de biens ou services par Tintermediaire d'un reseau 
public), du courrier electronique, du porte-monnaie electronique, etc... 

Ces applications, ainsi que d'autres, necessitant des transactions 
securisees sont bien connues des specialistes de la technique et ne sont pas 
5 decrites ici en details. 

Suivant leur nature, la securisation de ces applications necessity la 
mise en ceuvre d'un ou plusieurs services de securite tels que : 

- 1'authentification, qui permet de garantir Tidentite d'une entite 
(une personne ou un systeme) ; 

10 - le controle d'acces, qui confere une protection contre 1'utilisation ou 

la manipulation non autorisee de ressources ; 

- la confidentialite, qui interdit la divulgation de donnees a des 
entites non autorisees ; 

- Tintegrite de donnees, qui assure que des donnees n'ont pas ete 
15 modifiees, supprimees ou substitutes sans autorisation ; 

- la non repudiation, qui assure qu f un participant a un echange de 
donnees ne pourra pas ulterieurement nier Texistence de cet echange. 

La combinaison de deux techniques existantes permet d'envisager la 
mise en ceuvre de ces services de securite, offrant ainsi un niveau de 
20 securite suffisant pour effectuer des transactions electroniques. 
II s f agit de : 

- la cryptographie a cle publique et cle privoe, car elle permet de 
garantir la non repudiation et facilite la gestion des cles ; 

- la carte a circuit integre, ou a micro-circuit, car elle est peu 
25 couteuse, facile a utiliser et sure grace a des microprocesscurs specifiques 

dotes de protections materielles et logicielles permettant d'interdire l'aoces 

en lecture et en ecriture a leurs me moires. 

Les cartes a circuit integre offrent les services suivants : 
* Tauthentification du porteur ou utilisateur de la carte : cette 
30 operation permet d'authentifier le porteur a Taide d'un code confidentiel et 

a la carte d'accepter par la suite la mise en ceuvre d'operations telles que 

Texecution d ! algorithmes, la lecture de cles secretes, la lecture et/ou 
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l'ccriture de donnees dans la carte," qui peuvent en outre etre soumises a 
d'autres conditions de securite ; 

* la protection des donnees et fonctions stockees sur la carte a circuit 
integre. L'acces a la carte peut etre soumis a une authentification prealable 
de Tentite electronique demandant a y acceder. Cette authentification 
externe se fait generalement en mode challengc/reponse. Dans ce cas, 
l'entite dispose d'un parametre secret, ci-apres appele egalement secret, qui 
lui permet de calculer, en fonction d'un challenge e mis par la carte, une 
reponse qui prouvera a la carte qu'elle est en possession du secret ; 

* execution d'algorithmes cryptographiques utilisant un parametre 
secret memorise dans la carte (chiffrement, authentification de message! 
signature) ; 

* authentification interne. Ce service permet a une application 
d'authentifier la carte. Ce service est l'inverse d'une authentification 
externe. La carte genere une reponse en fonction d'un challenge regu et 
d'un secret stocke dans la carte. 

Les services offerts par la carte a circuit integre sont mis en oeuvre 
sur reception de commandes dites elementaires, Texecution de la 
commande provoquant l'envoi de reponses elementaires. Ces commandes 
elementaires concernent, par exemple, des calculs cryptographiques, la 
lecture ou Tecriture de donnees secretes ou non, des interventions de 
l'utilisateur (saisie de son code confidentiel personnel PIN, validation d'une 
transaction apres signature), les retours d'information vers l'utilisateur 
(affichage des messages a signer, par exemple). 

Certaines cartes offrent la possibilite de verifier Tintegrite, Torigine, 
voire la confidentiality des commandes envoyees a la carte. Ces services 
reposent sur des" techniques d'authentification et de chiffrement des 
commandes. 

L'utilisation qui est faite actuellcment des cartes a circuit integre (ou 
cartes a micro-circuit) offre un degre tres eleve de securite car les 
transactions sont essentiellement mises en ceuvre sur des reseaux prives et 
des terminaux (distribute urs automatiques de billets, terminaux points de 
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vente par exemple) qui sont sous le controle d'une entite assurant la 
securite dc 1'ensemble du systeme. 

Dans de telles applications, les utilisateurs ou d'eventuels fraudeurs 
n'ont pas acces au logiciel d'application, ni aux mecanismes de securite 
5 materiels et logiciels dont sont dotes les terminaux. 

Par contre, la rnise en oeuvre de transactions securisees avec des 
cartes a circuit integre sur un reseau public suppose que les utilisateurs 
aient a leur disposition un module terminal lecteur de carte, etant donne 
que ces cartes a micro-circuit ne sont pas dotees d'une source d'energie 
10 electrique propre et que leur mise en oeuvre requiert un lectern- susceptible 
de les alimenter et d'etablir une communication avec Tutilisateur et/ou des 
moyens electroniques exterieurs. 

A Theure actuelle, pour realiser une transaction sur un rescau 
public, 1'utilisateur dispose d'un terminal, qui peut etre un produit dedie, 
15 un ordinateur personnel, ou un ordinate ur personnel couple a une carte a 
circuit integre par un lecteur de carte. 

Dans tous les cas, le systeme de transactions a la disposition de 
1'utilisateur est en general constitue de : 

• un fournisseur de services applicatifs pouvant etre, par exemple, un 
20 navigateur Internet, un logiciel de messagerie, un logiciel de banque a 

domicile ("Home banking"), 

• un fournisseur de services de securite de haut niveau permettant 
Texecution des mecanismes cryptographiques de bas niveau requis par 
Tapplication. 

25 Lc fournisseur de services applicatifs cmet des requetes de services 

de securite de haut niveau pour assurer la securite des transactions mises 
en oeuvre. 

Dans le cas ou Tapplication est implantee sur Fordinateur personnel 
de 1'utilisateur, les services cryptographiques auxquels il est fait reference 
30 sont, par exemple, ceux definis par la Societe RSA Laboratories dans son 
standard "PRCS 11 : Cryptographic Token Interface Standard", ou encore 
les services cryptographiques offerts par le systeme Sexploitation Windows 
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NT de Microsoft, en particulier ceux proposes par l'lnterface des 
programmes d'application (API) "Crypto API". 

Lorsque l'utilisateur ne dispose pas de lecteur de carte a circuit 
integre, les services cryptographiques sont realises de maniere logicielle 
5 uniquement. 

Lorsque l'utilisateur veut arrieliorer la securite, il utilise un lecteur 
de carte a circuit integre de type transparent connecte a son ordinate ur. Un 
lecteur de carte de type transparent est en fait un boitier d'interface entre 
l'ordinateur et la carte a circuit integre qui permet de transmettre des 

10 commandes elementaires de l'ordinateur, provenant du fournisseur de 
services cryptographiques, vers la carte, et les rcponses elementaires de la 
carte vers l'ordinateur. Un utilisateur peut, a Taide de ce terminal, 
(constitue de son module terminal - ordinateur + lecteur - couple a sa carte) 
effectuer des transactions electroniques (commerce eleCtronique par 

15 exemple). 

Bien entendu, Tacces des utilisateurs a un tel terminal engendre des 
risques potentiels du point de vue de la securite. 

Les risques encourus seront d'autant plus grands que les 
applications seront decentralisees. Et vice versa, les applications pourront 

20 etre d'autant plus decentralisees, que les risques cote termmaux seront 
maitrises. Par exemple, on peut envisager des applications de type porte- 
monnaie, dans lesquelles les transactions (debit de la carte acheteur/credit 
de la carte commer?ant) se feront de carte a carte, sans necessiter une 
consolidation des transactions au niveau d'un serveur central. 

25 II resulte de ce qui precede, qu'un terminal peut potcntiellement 

contenir un ensemble d'information? . voire des logiciels, sur la 
confidentialite et Tinte^rite desqucls rc : pose la securite de 1' application. 
Commc exemple, on peut citer des cles secretes utilisees pour 
Tauthentification du module terminal vis-a-vis de la carte, ou pour lc 

30 chiffrement de donnees entre un serveur et le module terminal lecteur de 
carte. Or, un fraudeur peut profiter du fait d'avoir a sa disposition un 
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terminal pour analyser son fonctionnement et acceder aux informations et 
logiciels confide ntiels. , 

II faut cgalement noter que les applications auxquelles il est fait 
reference ici, telles que le commerce ou le courrier electronique, sont la 
5 plupart du temps mises en oeuvre a travers le reseau Internet. II est bien 
connu des experts qu'un ordinateur personnel ou PC connecte au reseau 
Internet est tres vulnerable aux logiciels de type virus, qui peuvent etre 
installes et executes sur le PC de Tutilisateur sans meme quil le sache et 
sans quil ait laisse un acces physique a son ordinateur a qui que ce soit. Le 

10 cote totalement invisible de ce type de menace represente le reel danger qui 
limite a Theure actuelle le deploiement des applications transactionnelles 
utilisant. Internet. Les memes commentaires peuvent s'appliquer aux 
applications de commerce electroniques envisagees a partir des reseaux 
cables de television en utilisant des decodeurs ou M set-top box" raccordes au 

15 poste de television et comportant un ou deux lecteurs de cartes a puce. 
Les risques au niveau du systeme sont alors les suivants : 

♦ Attaque sur Fintegrite du fournisseur de services 
cryptographiques et du fournisseur de services applicatifs visant a 
modifier le comportement du module terminal: a titre d'exemple, le 

20 module terminal est modifie de maniere £i capturer les informations liees a 
la carte, stocker les informations obtenues pour ensuite les communiquer a 
un faux serveur. Cette attaque peut etre realisee a l'insu de Tutilisateur 
legitime (substitution du module terminal de Tutilisateur ou pret d'un 
module terminal modifie). Cette attaque peut ensuite se generaliser sous 

25 la forme de la diffusion de modules terminaux contrefaits ; 

• Attaque sur la confidcntialite du fournisseur de services 
cryptographiques, visant a se procurer les cles cryptographiques quil 
manipule, lesquelles cles sont par exemple stockees sur le disque dur d'un 
ordinateur. 

30 • Attaque vis-a-vis d'autres cartes, basee sur une capacite a pouvoir 

s'authentifier vis-a-vis de ces cartes, grace aux secrets decouverts par une 
attaque sur la confidentialite du fournisseur de services. 
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• Attaque sur l'integrite et la confide ntialite des communications 
entre les differentes entites (fournisseurs de services applicatifs, 
fournisseurs de services cryptographiques, lecteur de carte a circuit 
integre, carte a circuit integre, serve ur) permettant de rompre la chaine de 

5 confiance etablie entre ces elements . Par exemple: 

1 - dechiffrement des communications entre serveur et 

terminaux ; 

2 - insertion d'un logiciel tiers entre le fournisseur de services 
applicatifs et le fournisseur de services cryptographiques yisant a rompre 

10 la chaine de confiance entre ces deux logiciels ou bien substitution du 
logiciel apphcatif par un logiciel tiers visant a faire executer au fournisseur 
de services de securite des requetes de securite dans un but different de 
celui de Tapplication connue de Tutilisateur. 

• Attaque sur les serveurs (dans le cas d'une application en mode 
15 connecte) : connexion d'un terminal contrefait a un serveur, emulation 

d'un couple module terminal-carte a circuit integre pour obtenir des 
avantages. 

Ainsi, une attaque sur la chaine de confiance entre le foiarnisseur de 
services cryptographiques et le fournisseur de services applicatifs, dans le 
20 cadre d'une application requerant la signature dune transaction 
electronique a 1'aide d'une carte a circuit integre, est illustree ci-apres. Le 
deroulement de la transaction est le suivant : 

- Etape 1 : verification du code confidentiel personnel (PIN) de 
Tutilisateur, que celui-ci introduit par un clavier associe a son module 

25 terminal, le code introduit etant transmis a la carte pour verification par 
cette derniere. 

- Etape 2 : authcntification du module terminal Ce dernier envoie 
une commando "demande challenge". (Un challenge est un nombre 
aleatoire ou pseudo-aleatoire). La carte a circuit integre genere le challenge 

30 et le transmet au module terminal. Le module terminal envoic a la carte 
une commande "authentication externe" accompagnee d'une reponse 
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constitute du challenge chiffre par une clc dotcnuc par le module terminal. 
La carte a circuit integre verifie alors la reponse recue. 
- Etape 3 : si les etapes 1 et 2 se sont deroulees de maniere satisfaisante, la 
carte a circuit integre est prete a recevoir et executer la commande 
5 signature, e'est-a-dire une commande de chiffrement, au moyen d'une clc 
secrete stockee dans la carte, du resultat d'une operation de hachage 
realisee sur la transaction saisie par l'utilisateur. Apres ce chiffrement, la 
carte emet, a destination du module terminal, la signature constitute du 
resultat de l'operation de hachage ("hash") ainsi chiffre. 

10 Si 1'integrite du logiciel d'application (fournisseur de services 

applicatifs et son fournisseur .de services cryptographiques) n'est pas 
assuree, un fraudeur n'a pas besoin de connaitre les cles et codes secrets 
pour pirater le systeme de transaction : il lui suffit d'implanter dans le 
module terminal, par exemple dans l'ordinateur personnel auquel est 

15 raccorde un lecteur de carte a circuit integre, un logiciel de type virus qui, a 
l'etape 3, detourne les donnees authentiques a signer et envoie a la carte 
des donnees falsifiees. Etant donne que les etapes 1 et 2 se sont deroulees 
de maniere satisfaisante, la carte signera alors les donnees falsifiees sur la 
base du PIN que l'utilisateur a lui-meme introduit et celui-ci croira que la 

20 carte va signer ses propres donnees. 

L'exemple precedant montre la neccssite de proteger non seulement 
les informations confidentielles mises en oeuvre dans le cadre d'une 
transaction, mais aussi 1'integrite de la transaction, e'est-a-dire 1'integrite 
du comportement de chaque entite intervenant dans la transaction, ainsi 

25 que 1'integrite du comportement d'ensemble du logiciel en veillant a la non 
rupture de la chaine de confiance etablie entre les differentes entites. 

Les risques d'attaque mcntionnes ci-dessus sont a l'heure actuelle cn 
partie couverts par des terminaux - lecteurs de carte a circuit integre 
integrant des modules de securite (SAM, analogue a une carte a circuit 

30 integre) qui sont utilises notamment dans le cadre des applications porte- 
monnaie. Le lecteur est alors personnalise par un SAM, et attribue a un 
commer?ant, les cartes lues etant celles des clients. Ce SAM contient des 
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informations secretes et est susceptible d'executer des algorithrnes utilisant 
ces informations secretes. Mais, il ne contient pas de moyens permettant 
notamment de piloter les communications avec I'utilisateur, avec la carte a 
circuit integre et/ou avec des moyens electroniques exterieurs, et done la 
securisation de transaction n'est pas assuree. 

II est egalement connu par le document WO 95/04328 un module 
terminal comprenant des moyens d 'interface avec l'utilisateur et des 
moyens d'interface avec des moyens electroniques exterievirs (ci-apres 
appeles moyens d'interface extcrnc), comportant unc interface avec une 
carte a micro-circuit. Le microprocesseur du module terminal comprend des 
moyens de stockage de donnees (ROM, EEPROM, RAM). Les donnees 
stockees en memoire permanente (ROM) comprennent entre autres un 
systcmc d'exploitation, des gestionnaires de composants externes pilotant 
les interfaces et peripheriques, et un interpreteur capable d'interpreter des 
modules programmes ecrits dans un langage specifique. Lies modules 
programmes sont stockes dans la memoire semi-permanente EEPROM et 
peuvent etre charges en memoire temporaire RAM pour etre executes par 
le microprocesseur lors de 1'activation d'une interface appropriee par 
Tutilisateur. Les modules programmes, correspondant aux applications du 
module terminal, sont telecharges dans la memoire EKPROM du 
microprocesseur ou dans une carte a micro-circuit a partir d'un serveur 
externe. 

Lc module terminal du document WO95/04328 peut fonctionner : 

- en mode module terminal autonome, le microprocesseur du module 
terminal executant un module programme stocke dans une memoire 
interne, sans faire appel a une carte a circuit integre ; 

- en mode terminal autonome, dans lequel un module programme 
stocke dans une carte est execute ; 

- en mode terminal etendu ou connecte, dans lequel le 
microprocesseur du module terminal ou celui de la carte execute un module 
programme et une communication est etablie via le telephone, un modem 
ou une liaison directe avec un fournisseur de services ou un serveur ; 
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- en mode lecteur de carte a memoire transparent, dans lequel des 
instructions recues par une liaison serie sont transmises directement a la 
carte et vice et versa. 

Le terminal decrit au document WO 95/04328 ne traite pas des 
5 problemes de securite vises par l'invention dans la mesure ou il ne decrit 
pas comment securiser une transaction en garantissant Tintegrite du 
comportement d'ensemble du logiciel executant la transaction. II ne decrit 
notamment pas de moyens permettant Texecution de requetes de hau.% 
niveau emises par Implication, ni comment garantir l'origine, l'integrite et 

10 la confidentialite de ces moyens. 

La presente invention vise a fournir un terminal pour la mise en 
ceuvre de transactions electroniques securisees, du type comprenant un 
dispositif personnel de securite tel qu'une carte a circuit integre ou autre 
■dispositif remplissant les memes fonctions, et un module terminal dote de 

15 moyens d'interface avec le dispositif personnel de securite, tels qu'un 
lecteur de carte a circuit integre, et oflrant de par son architecture logicielle 
et/ou materielle et les mecanismes de securite qu'il comporte, un niveau de 
securite ameliore, compatible avec le fait que le terminal peut etre place 
sous le controle des utilisateurs, (par opposition a des terminaux controles 

20 par des operateurs). 

Un deuxieme objectif de l'invention est d'assurer ce meme niveau de 
securite tout en permettant l'integration, en cours d'utilisation, do fonctions 
ou applications nouvelles, ou revolution des fonctions ou applications 
existantes sans avoir recours a une multitude de modules terminaux 

25 differents ou au changement des modules terminaux lors des evolutions. 

A cet effet, l'invention a pour objct un terminal pour la mise en 
ceuvre, par un utilisateur, de transactions electroniques securisees en 
liaison avec au moins une application implantee sur une unite 
electronique, ledit terminal comprenant : 

30 - un module terminal comportant au moins : 
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• des premiers moyens d'interface avec ladite application 
pour en recevoir des requetes relatives auxdites 
transactions, 

• des deuxiemes moyens d'interface avec ledit utilisateur, 

• des troisiemes moyens d'interface avec un dispositif 
personnel de securite, 

• des premiers moyens de traitement de donnees comprenant 
au moins des premiers moyens logiciels de pilotage desdits 
moyens d'interface, et 

- un dispositif personnel de securite comportafit au moins des 
deuxiemes moyens de traitement de donnees securisees comprenant au 
moins des deuxiemes moyens logiciels d'execution de commandes 
elementaires et des moyens d'execution de calculs cryptographiques, 
caracterise en ce que : 

- ledit terminal est adapte pour recevoir lesdites requetes de ladite 
application implantee sur ladite unite electronique sous la forme de 
requetes de haut niveau independantes dudit dispositif personnel de 
securite, 

- Tun au moins dudit module terminal et dudit dispositif personnel 
de securite comprend : 

• au moins une memoire reprogrammable de stockage d'au 
moins un logiciel filtre, traduisant lesdites requetes de 
haut niveau en sequences d'echange de donnees entre ledit 
module terminal et ledit utilisateur via lesdits seconds 
moyens dlnterface, executables par lesdits premiers 
moyens logiciels desdits premiers moyens de traitement de 
donnees, et en sequences de commandes elementaires 
executables par lesdits deuxiemes moyens de traitement 
de donnees, et 

• des moyens de protection dudit logiciel filtre pour 
empecher toute lecture et/ou modification dudit logiciel par 
une personne non autorisee, et 
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- Tun au moins desdits premiers et deuxiemes moyens de traitement 
de donnees comprend un dispositif de traitement de donnees pom- 
re xecu turn dudit logiciel filtre. 

L'invention defmie ci-dessus permet d'atteindre les objectifs de 
5 securite rcquis par la mise en oeuvre de transactions electroniques grace 
au fait qu'elle decrit un filtre ou pare-feu (" firewall ") entrc le monde 
exterieur, c'est-a-dire les applications elles-memcs, et les moyens de 
securite et peripheriques quil gere, au raoyen d'une interface logique 
permettant la definition du format des requetes de haut niveau emises par 
10 les applications et d'un logiciel de traduction assurant le traitement de ces 
requetes. 

De preference, le, terminal suivant l'invention comprend une ou 
plusieurs des caracteristiques suivantes, eventuellement combinees : 

- ledit dispositif d'execution du logiciel filtre comprend des premiers 
15 moyens ^identification et/ou d'authentification de ladite application 

implantee dans ladite unite ou de Torigine desdites requetes emises par 
ladite application ; 

- ledit dispositif de traitement de donnees pour Texecution dudit 
logiciel filtre comprend des moyens de verification de Tintegrite des 

20 donnees regue de ladite application ; 

- ledit dispositif de traitement de donnees pour l'execution dudit 
logiciel Otre comprend des moyens centralises de controle des conditions 
d'utilisation des services du dispositif personnel de securite, en -fonction.de 
ladite application et/ou dudit utilisateur ; 

25 - ledit dispositif de traitement de donnees pour Texecution dudit 

logiciel filtre comprend : 

• des moyens pour commander \e chargement securise dudit 
logiciel filtre dans ladite memoire programmable, via 1'un 
desdits premiers ou troisiemes moyens d'interface, a partir 
30 d'une entite exterieure audit module, et 
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• des premiers moyens de controle d'acees pour- n'autoriser 
ledit chargement dudit logiciel filtre qu'en reponse a au 
moins une condition predefinie ; 

- le terminal comprend des deuxiemes moyens d'authentification 
5 desdits premiers moyens de traitement de donnees par lesdits deuxiemes 

moyens de traitement de donnees ; 

- le terminal comprend des troisiemes moyens d'authentification 
desdits deuxiemes moyens de traitement de donnees par lesdits premiers 
moyens de traitement de donnees ; 

10 - le terminal comprend un premier canal de communication entre 

lesdits premiers et deuxiemes. moyens de traitement de donnees et des 
premiers moyens de securisation dudit premier canal de communication ; 

- le terminal comprend des quatrieme moyens d'authentification 
dudit module terminal par ledit utilisateur, independamment de ladite 

15 carte ; 

- lesdits quatrieme s moyens d'authentification comprennent des 
moyens de calcul, par lesdits premiers moyens de traitement de donnees, et 
de presentation audit utilisateur, via lesdits deuxieme moyens d'interface, 
d'un mot de passe connu dudit utilisateur et calcule sur la base d f au moiiis 

20 un premier parametre secret stocke dans lesdits premiers moyens de 
traitement de donnees ; 

- le terminal comprend des cinquiemes moyens d'autHentification 
conjointe dudit module terminal et de ladite carte par ledit utilisateur ; 

- lesdits cinquiemes moyens d'authentification comprennent des 
25 moyens de calcul, par ledit dispositif d'execution dudit lo^iciel, et de 

presentation audit utilisateur, via lesdits deuxiemes moyens d'interface, 
d'un mot de passe connu dudit utilisateur et calcule sur la base d f au moins 
un deuxieme et un troisieme parametres secrets stockes respectivement 
dans lesdits premiers, et deuxiemes moyens de traitement de donnees. 
30 Selon une premiere forme de realisation de rinvention, le module 

terminal est constitue par un ordinateur personnel et ladite mernoire 
programmable est constitute par le disque dudit ordinateur, ledit logiciel 
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filtre est execute sur l'ordinateur personnel ou bien dans un deuxieme 
mode d'execution, ladite memoire programmable est implantee sur un 
serveur securise relie a l'ordinateur personnel, la partie du logiciel filtre 
devant etre protege etant executee sur ledit serveur securise. 
5 Selon une deuxieme forme de realisation de l'invention, le module 

terminal est un dispositif, tel-qu'un lecteur dedie de carte a circuit integre, 
auquel cas ledit dispositif personnel de securite est une carte a circuit 
integre, ou un ordinateur personnel. Ce mode de realisation se differencie 
du precedent par le fait que ladite memoire programmable est integree 

10 dans un microprocesseur securise, ledit logiciel filtre etant execute dans 
le&t microprocesseur securise. Le module terminal dedie peut 
eventuellement etre portable. 

Selon les modes d'execution de cette deuxieme forme de realisation 
de l'invention, la memoire programmable pour le chargement et le stpckage 

15 du logiciel filtre peut etre disposee dans le dispositif personnel de securite 
ou dans le module terminal. 
Dans ce dernier cas : 

- le module terminal peut comporter un seul microprocesseur pour 
l'execution du logiciel filtre et le pilotage des interfaces, ou bien deux 

20 microprocesseurs remplissant respectivement l'une et l'autre de ces deux 
fonctions. 

- de preference ledit logiciel filtre comprend au moins un parametre 
secret et lesdits deuxiemes moyens de traitement de donnees comprennent 
des seconds moyens de controle d'acces conditionnels pour n'autoriser 

25 l'execution desdits calculs cryptographiques, en reponse a des commandes 
elementaires generees par ledit logiciel filtre, que si au moins une seconde 
condition predefinie, fonction dudit parametre secret est remplie 

Selon d'autres caracteristiques de l'invention, lorsque le module 
terminal comporte deux microprocesseurs pour l'execution du logiciel filtre 

30 et le pilotage des interfaces : 

- le terminal comprend un deuxieme canal de communication entre 
lesdits premiers moyens logiciels de pilotage des moyens d'interface et ledit 
deuxieme microprocesseur et des deuxiemes moyens de securisation dudit 
deuxieme canal de communication ; 

35 - lesdits deuxiemes moyens de securisation comprennent des moyens 

de chiffrement et dechiffrement, par lesdits premiers moyens logiciels de 
pilotage des moyens d'interface et ledit deuxieme microprocesseur, des 
donnees transmises sur ledit deuxieme canal de communication, sur la 
base d'au moins un cinquieme parametre secret memorise dans lesdits 

40 moyens de stockage ; 

-lesdits deuxiemes moyens de securisation comprennent des 
premiers moyens physiques de protection dudit deuxieme canal de 
communication contre les intrusions. 

Differents modes de realisation de l'invention seront maintenant 

45 decrits en se referant aux dessins annexes, en particulier des modes de 
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realisation dans lesquels le logiciel filtre est charge et execute dans le 
terminal de maniere a garantir a la fois son origine, sa confidentiality et 
son integrite, ce logiciel pouvant aussi authentifier Torigine des requetes 
qui lui sont envoyees, si la confiance dans les interfaces avec 1'utilisateur, 
c'est-a-dire l'ecran et le clavier, ne peut etre garantie. 

- la Figure 1 est un schema illustrant Farchitecture fonctionnelle 
d'un systeme pour la mise en oeuvre de transactions securisees au moyen 
d'un terminal selon l'invention ; 

- la Figure 2A presente une premiere forme de realisation de 
l'invention ou le terminal est un ordinateur personnel couple a une carte a 
circuit integre par un lecteur, Tapplication pouvant etre elle meme 
implantee sur Tordinateur personnel ou sur un seryeur distant. 

- la Figure 2B decrit l'architecture fonctionnelle d'une variante 
d'execution de la premiere forme de realisation de 1'invention, dans laquelle 
l'ordinateur personnel servant de terminal est en liaison avec un serveur 
de securite sur lequel est implante le logiciel filtre ; 

- la Figure 3 presente un systeme de transaction mis en oeuvre grace 
a un terminal selon une deuxieme forme de realisation de Tinvention, qui 
peut etre un produit dedie relie en tant que peripherique a un ordinateur 
personnel ou directement a un serveiir ou bien construit autour d'un 
ordinateur personnel ; 

- la Figure 4A est un schema bloc de rarchitectxnre materielle des 
circuits electroniques d'un premier mode d'execution du terminal de la 
figure 3 ; 

- la Fignre 4B est un schema fonctionnel illustrant urxe premiere 
configuration d'architecture logicielle du terminal de la figure 4A ; 

- la Figure 4C est un schema fonctionnel similaire a celui de la figure 
4B presentant une seconde configuration d'architecture logicielle du 
terminal de la figure 4A ; 

- la Figure 5 est un schema bloc de Tarchitecture materielle des 

circuits electroniques d ! un deuxieme mode d'execution dvi terminal 
autonome de la figure 3 ; 

- la Figure 6 est un schema bloc de Tarchitecture materielle des 
circuits electroniques d ! un troisieme mode d'execution du terminal 
autonome de la figure 3 ; 

- la Figure 7 est un schema illustrant l'architecture logicielle 
conventionnelle d'une carte a micro-circuit ; 

- la Figure 8A est un schema illustrant l'architecture logicielle d'un 
systeme de transaction comprenant le terminal de la figure 4A ; 

- la Figure 8B est un schema illustrant l'architecture logicielle d'un 
systeme de transaction comprenant le terminal de la figure 6 ; 
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- la Figure 9 est un diagramme illustrant la raise en aeuvre d'une 
application de commerce electronique au moyen d'un systeme selon 
Tinvention ; et 

- la Figure 10 est un organigramme illustrant le processus de 
5 telechargcment d'un programme dans une me moire reprogrammable du 

module terminal de la figure 4A ou 5, ou d'une carte a micro-circuit 
connectee a celui-ci ; 

En se referant a la figure 1, un systeme de mise en ceuvre de 
transactions securisees comp rend un module terminal 1 de lecture d'une 

10 carte a circuit integre 31 ou equivalent. Le module terminal 1 comp rend un 
filtre F constitue d'un module logiciel traitant des requetes de haut niveau 
emises par des fournisseurs de services applicatifs FAp externes au module 
terminal 1 au moyen d'une interface logique F-API, et des interfaces 
utilisateur telles qu'un ecran d'affichage 4 et un clavier 5 permettant la 

15 lecture et Introduction de donnees par un utilisateur. II comp rend 
egalement un lecteur ou interface de communication 6 avec une carte a 
micro-circuit ou tout dispositif de securite equivalent personnel a 
1'utilisateur, du type jeton (token), " JavaRing " (produit de la societe SUN), 
"iButton" (produit de la societe Dallas Semiconductor Corporation), jeton 

20 logiciel (soft token), ainsi que des interfaces de communication avec au 
moins un fournisseiu: de services applicatifs FAp qui peut, par exemple, 
etre implante sur un ordinateur personnel PC et/ou sur un serveur Sap , 
lechange de donnees s'effectuant alors via un reseau R de transmissions de 
donnees ou de telecommunications. 

25 Le module terminal 1 peut etre un terminal dedie ou etre integre 

dans un ordinateur personnel de type PC, ou bien dans un ordinate ur- 
terminal NC dedie aux applications en reseau (Network Computer) ou 
encore dans un decode ur de reseau de television cable (Set Top Box). 

Le module terminal 1 peut eventuellement etre utilise en mode 

30 autonome, par exemple pour lire des informations, telles que'le contenu 
d'un porte-monnaie electronique, contenues dans une memoire de la carte 
31. 


2779018 

17 

Pom- la misc en oeuvre de transactions securisees, le module 
terminal 1 peut etre utilise en mode connecte avec un serveur Sap ou en 
mode non connecte, l'application FAp etant alors executee localement, par 
exemple sur l'ordinateur personnel PC : Tel est le cas, par exemple, 
■lorsqu'un utilisateur doit signer un courrier electroniqiae ou des 
transactions qui seront envoyees a un destinataire. Une telle operation 
n'implique pas de connexion avec un serveur applicatif au moment ou la 
carte 31 est utilisee. 

En mode connecte, comme represents a la figure 3 dans le cas d'un 
module terminal 1 dedie, celui-ci peut etre connecte au serveur Sap sur 
lequel.est implante l'application FAp par 1'intermediaire de l'ordinateur PC 
et d'un reseau R tel qu'Internet, ou par 1'intermediaire du reseau 
telephonique R via un modem MO ou une liaison DTMF avec un combine 
telephonique CT. Certaines transactions, telles que le rechargement d'un 
porte-monnaie electronique dans la carte 31, peuvent n^cessiter un 
echange bidirectionnel de dorinees avec le serveur Sap et sont, par 
consequent, plus ergonomiques en mode connecte. 

La mise en ceuvre d ! une transaction securisee avec un module 
terminal 1 et une carte 31 implique que des requetes logicielles de haut 
niveau (par exemple signature, authentication , etc..) soient transmises 
du programme applicatif implante par exemple dans le serveur* Sap (mode 
connecte) ou dans Tordinateur personnel PC ou NC a la disposition de 
Tutilisateur (mode non connecte, par exemple signature de courrier 
electronique), au filtre F assurant le pilotage des moyens de securite. Ce 
filtre F effectue le traitement de ces requetes au moyen d*un logiciel dc 
traduction, s'assurant ainsi que l'application ou tout autre logiciel de type 
virus ne peuvent avoir un acces direct aux fonctions cryptographiques de la 
carte a circuit integre 31. 

Lc filtre F repond aux objectifs de securite recherches dans la 
mesure ou le logiciel de traduction qu'il comporte verifie l'identitc dc 
l'application emettant les requetes de services ( ou directement 1'origine des 
requetes) et est implante de maniere a garantir Tintegrite et la 
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confidentialitc dcs operations et donnees elementaires mises en oeuvre 
pour repondre aux requetes de services. 

Un logiciel de traduction est un logiciel configure pour un type de 
carte a micro-circuit et traduit des requetes de haut niveau regues des 
5 logiciels d'application en sequences de commandes elementaires 
executables par les cartes a micro-circuit et en sequences d'echanges de 
donnees avec l'utilisateur. 

Les requetes de haut niveau sont une liste de commandes utilisees 
par les programmes applicatifs pour faire appel aux services de securite 

10 necessaires pour identifier et authentifier la personne realisant la 
transaction et garantir l'origine, l'integrite et eventuellement la non- 
repudiation de la transaction. Une requete de haut niveau provenant d'une 
application (se trouvant sur un serveur ou sur 1'ordinateur personnel PC ou 
NC) est caracterisee par le fait que : 

15 . elle est independante des moyens de base (moyens 

crypto graphiques par exemple) mis en oeuvre pour satisfaire a sa demande. 
Ainsi, une requete de haut niveau peut s'appuyer sur des moyens purement 
logiciels. Reciproquement, plusieurs applications peuvent utiliser le meme 
fournisseur de services de securite, faisant alors appel a la meme interface 

20 logique F-API definissant ces requetes. 

- le traitement de la requete permet de lier la transaction de maniere 
certainc a futilisateur effectuant la transaction a Taide d'au moins un 
parametre secret, fixe ou variable, fourni par la carte a circuit integre de 
Futilisateur. 

25 - elle comporte eventuellement une information ou des informations 

permettant au logiciel filtre F de verifier son origine et son integrite. 
Uauthentification peut se faire a Taide dun code de type "Message 
Authentication Code ou MAC " ou bien de type " signature electromque " 
associe a la requete. 

30 - dans le cas ou la transaction nest pas saisie par l'utilisateur sur le 

module terminal lui-meme, la requete contient eventuellement 
information necessaire pour permettre a l'utilisateur de verifier, sil le 
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souhaite et si le module terminal supporte cette option, les donnecs 
essentielles de la transaction. 

Linterface logique F-API permettant lechange des requetes de 
securite de haut niveau entre les applications et le logiciel de traduction du 
filtre F pcut etrc standardisee de maniere a etre commune a different^ 
programmes applicatifs. Ainsi, la requete de type " Signature " peut etrc 
utilisee par une messagerie electronique ou par un logiciel d' achat. II est 
ainsi possible de changer l'application tout en conservant le foumisseur de 
services de securite ou reciproquement de remplacer le fournisseur de 
services de securite sans modifier l'application. 

Afin de garantir l'integrite de la chaine de confiance eritre 
l'application et la carte, le logiciel filtre F de traduction identifie, voire 
authentifie Torigine et Tintegrite des requetes qu'il re<poit. Differentes 
methodes peuvent etrfe envisagees pour identifier l'application emettant les 
requetes ; . 

- un code ^identification peut etre integre dans la requete elle- 
meme puis verifie par le logiciel filtre a partir des informations qu'il 
contient ou qui peuvent etre stockees dans la carte a circuit integre ; 

- le meme but peut etre atteint en comparant le resultat d'une 
operation de hachage execute par le logiciel filtre sur le logiciel applicatif 
emettant la requete avec un resultat prealablement stocke dans la carte 
par exemple. Cette derniere solution est particulierement adaptee au cas 
ou l'application est implantee sur le PC de l'utilisateur ; 

- Tauthentification peut egalement etre realisee en associant a la 
requete un code de type " MAC " calcule a partir du contenu de la requete 
et d'une cle secrete partagee entre l'application et le logiciel filtre. Un 
principe equival* \it peut etre utihse avec une signature de la requete 
calculee avec les memos informations et une cle privee connuc de 
l'application, la signature etant verifiee avec la cle publique correspondante 
connue du logiciel filtre. 

,La figure 2A decrit une premiere forme de realisation pour laquelle 
le module terminal 1 est un ordinateur personnel PC 102, la liaison avec la 
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carte a circuit integre 31 s'effectuant au moyen d'un lecteur 6 connecte ou 
integre a l'ordinateur PC 102. L'ordinateur personnel 102 cornprend des 
interfaces d'entree/sortie 102a avec le lecteur 6 et le serveur Sap. Suivant 
la nature du lecteur connecte au PC, les elements d'interface avec 
5 1'utilisateur peuvent etre le clavier et l'ecran du PC lui-meme, ou bien un 
clavier et/ou un afficheur de type LCD par exemple implante sur le lecteur. 
Dans ce mode de realisation, le filtre F est implante et execute sur 
l'ordinateur PC 102. Le filtre F, et done le logiciel de traduction qu'il 
contient, peut alors etre stocke sur le disque dur HD 102b dc l'ordinateur 

10 personnel 102. Pour etre execute par l'unite de calcul ou microprocesseur 
102c du PC; le logiciel filtre est ensuite charge dans la memoire vive RAM 
102d de l'ordinateur personnel 102. 

Le disque dur d'un ordinateur PC etant difficile a protege r, le logiciel 
filtre F, ou tout au moins la partie sensible de ce logiciel, peut etre chiffre. 

15 Pour cela il peut etre decompose en au moins 2 modules : un module de 
chargement/dechiffrement Fed et un deuxieme module correspondant au 
logiciel filtre lui-meme chiffre, Fchi. Le premier module permet le 
chargement du deuxieme module en memoire RAM, son dechiffrement, 
puis le lancement de son execution. En se referant a la Figure 2A, le 

20 module logiciel dechiffre et charge en RAM est nomme Fdec. 

L'utilisation d'un langage de programmation tel que Java, par des 
mecanismes de securite intrinseques au langage lui-meme, permet de 
renforcer la protection du logiciel 

Une autre methode de verification de l'intcgrite du logiciel filtre est 

25 de faire signer le deuxieme module par une autorite garante du contenu du 
logiciel filtre au moyen d'une cle privee conservce secrete par cette autorite. 
Le premier module de chargement effectue alors, simultanement a 
l'operation de dechiffrement, une operation de hachage sur le deuxieme 
module et verifie la signature de ce module au moyen de la cle publique 

30 associee a la cle privee de l'autorite. 

L'cnsemble des operations decrites dans les paragraphes precedents 
implique l'utilisation de cles sur lesquelles reposent la securite de 
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l'application. Ces cles peuverit etre cachees dans le module de chargement, 
stockees dans le lecteur 6, ou bien stockees dans la carte a circuit integre 
31 elle-meme. Un autre mode de realisation possible consiste a implanter 
le module de dechiffrement et de verification d'integrite dans le lecteur 6. 

L'objet de l'invention est de s'assurer qu'un pirate ne puisse pas 
utiliser la carte a circuit integre dun utilisateur a son insu, par exemple en 
modifiant le logiciel filtre pilotant la carte ou le logiciel application, ou bien 
en implantant un logiciel virus qui court-circuiterait F application ou le 
logiciel filtre mis en place. Le mode de realisation decrit precede rnment et 
ses variantes repondent a ces risques, en permettant la verification: 

- de l'integrite du logiciel filtre et 

- de l'origine et de l'integrite des commandes envoyees a la carte a 
travcrs 1c lecteur 6, en les authentifiant a I'aide d'un code de type MAC par 
exemple. La verification du MAC peut etre effectuee par le lecteur 6 ou la 
carte 31. Une protection equivalente pourrait etre obtenue en chifirant le 
dialogue entre le logiciel filtre et le lecteur 6. Un logiciel virus cherchant a 
court-circuiter le logiciel filtre enverrait done des commandes non 
authentifiees ou incorrectement chiffrees au lecteur 6 ou a la carte 31 ; en 
consequence ces commandes seraient rejetees par le lecteur ou la carte, 
empechant le virus d'arriver a ses fins. Afin qu'un fraudetir ne puisse 
determiner les cles utilisees sur un terminal en analysant le 
fonctionnement dun autre terminal les cles devront etre diversifioes. 

Les mecanismes de chiffrement et de signature qui peuvent etre 
envisages pour repondre au besoin de protection du logiciel filtre sont bien 
connus des hommes de Tart et reposent sur les techniques 
cryptographiques existantcs exposees, par exemple, dans Touvrage de 
Bruce Schneier intitule "Applied Cryptography, Protocols, Algorithms, and 
Source Code in C" publie chez John Wiley and Sons, Inc., 1994, et qui ne 
seront done pas decrits en detail ici. 

L'implantation du logiciel filtre dans un ordinateur personnel PC ne 
permet pas de garantir le meme degre de securite quune implantation 
dans un terminal dedie pouvant offrir des mecanismes de securite 
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materiels supplemcntaires comme decrit dans les autres formes de 
. realisation' presentees ulterieurement, ces mecanismes procurant une 
protection physique au logiciel filtre et aux secrets qu'il contient. 

Une variante d'execution du mode de realisation de la figure 2A est 
5 prcsente a la figure 2B. Cette variante met a profit la souplesse et la 
facilite de connexion d'un ordinateur personnel a un reseau. Cette 
connexion permet en effet le deport d'une partie du logiciel filtre, et en 
particulier des secrets, dans un serveur securise Ssec. 

Dans le cas de la Figure 2B, le logiciel filtre est decompose en deux 

10 modules logiciels, un module F-PC implante sur l'ordinateur personnel PC 
102 et un module F-SE implante sur un serveur de securite Ssec. La 
memoire programmable a laquelle il est reference precedemment et 
stockant le logiciel filtre, est done dans cette variante d'execution 
implantee dans le serveur securise Ssec, e'est-a-dire hors d'atteinte 

15 d'utilisateurs non autorises. De meme, le logiciel filtre, ou tout au moins la 
partie sensible du logiciel filtre F-SE requerant une protection, est execute 
sur le serveur securise Ssec. 

Le module logiciel F-PC implante sur l'ordinateur personnel PC 102 
est relie par un canal securise CS au serveur de securite Ssec. Ce canal 

20 securise est en fait un canal de communication chiffre permettant un 
echange de donnees protege entre les deux modules logiciels filtre F-PC et 
F-SE et eventuellement une authentication reciproque des deux modules 
F-PC et F-SE. Ce canal securise peut, par exemple, reposer sur des 
protocoles de communication bien connus tels que SSL. 

25 Letablissement de ce canal securise CS permet done au premier 

module logiciel filtre F-PC de transmettre au deuxieme module logiciel 
filtre F-SE, les requetes recues de l'application FAp a travers l'interface 
logique F-API, ainsi que les informations liees a Identification de 
l'application emettant ces requetes. Ce deuxieme module logiciel F-SE va 

30 ensuite, apres avoir verifie les informations relatives a l'application et, en 
fonction de l'application et eventuellement de des droits de l'utilisateur, 
traduire ces requetes en une suite de commandes destinees a la carte a 
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puce 31 et au pilotage des echanges de donnees avec 1'utilisateur. Ces 
commandes crees par le module F-SE sont ensuite envoyees au premier 
module F-PC qui les aiguille vers l'element concerne : le PC lui meme pour 
ce qui concerne les commandes de pilotage des echanges avec Futilisateur 
ou bien la carte a circuit integre. Pour que les commandes de pilotage des 
echanges avec Tutilisateur puissent etre executees sur le PC, le PC devra 
comporter un module logiciel I, dit interpreteur. Ce logiciel interpreteur 
permet l'aflfichage de messages sur Tecran 4 et la saisie d'information par 
Tutilisateur sur le clavier 5. Ce module logiciel interpreteur sera plus 
precisement decrit en regard des figures 4B et 4C. 

Ce second mode d'execution est base sur les mecanismes decrits a 
propos du premier mode d'execution de la figure 2A en ce qui concerne 
Identification de l'application (hachage ou signature par exemple) et la 
protection des commandes envoyees a la carte (ajout d'un code de type 
authentication de message MAC, par exemple). II offre par contre un 
degre de securite superieur dans la mesure ou le module logiciel filtre F-SE 
assurant la traduction des requetes de haut niveau revues de Tapphcation 
Fap est execute dans un environnement securise. Dans le contexte de 
Tinvention, le serveur Ssec est dit securise s'il n est pas accessible 
physiquement ainsi que logiquement, c'est dire a travers une connexion 
reseau, a des personnes non autorisees. 

Ce second mode d'execution de la figure 2B est bien adapte a des 
applications mises en oeuvre dans un environnement ferme ou privatif 
controle par une autorite centrale, car elle necessite un serveur protege 
dont Tadministration doit etre centralisee. Ce second mode d'execution offre 
de plus la possibility de definir une politique d'acces centralisee aux 
services cryptographiques offerts par la carte a circuit integre. Cette 
politique d'acces peut etre basee sur les applications requerant les services 
de la carte et sur les utilisateurs eux memes. Elle permet, par exemple, 
dans la cas d'une entreprise ayant distribue a ses employes ou a ses clients 
des cartes a circuit integre leur permettant de signer des courriers 
electroniques ainsi que des transactions bancaires, de sassurer que seuls 
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les utilisateurs autorises pourront signer : ce mecanisme peut etre mis en 
oeuvre grace au canal securise CS. A chaque requete de signature ermse 
par une des applications consideree comme valide par l'entreprise (la 
messagerie electronique et le logiciel de transactions bancaires), le module 
5 logiciel F-SE effectuera une demandc d'authentification de l'utilisateur. 
Cette demande peut, par exemple, etre effectuee en envoyant un nombre 
aleatoire, challenge ou defi via le canal securise CS a la carte 31. Apres 
saisie par l'utilisateur de son code confidentiel, la carte a circuit integre 
calculera un mot de passe dynamique en chiffrant le defi a l'aide d'une cle 

10 secrete qu'elle contient. Le mot de passe sera ensuite transmis via le canal 
CS au module logiciel F-SE. Le module logiciel F-SE, connaissant 
l'utilisateur et done la cle secrete contenue dans sa carte, comparera le mot 
de passe recu au mot de passe attendu. Ce mecanisme connu sous le nom 
d'authentification en mode challenge - reponse permet au module logiciel 

15 F-SE de valider l'identite de l'utilisateur. Ceci permet done a l'entreprise 
ayant remis les cartes a circuit integre aux utilisateurs de s' assurer que 
seuls les utilisateurs encore autorises peuvent par exemple signer des 
transactions bancaires. 

Le serveur Ssec, grace aux moyens securises et centralises qu'il 

20 represente, permet non seulement une implantation securisee du logiciel 
filtre F-SE mais aussi la possibility de mettre en place une politique 
centralisee de controle de l'utilisation des services de securite offerts par la 
carte a circuit integre. Le serveur Ssec permet la mise en place d'une 
politique centralisee du fait qu'un meme serveur peut etre en liaison avec 

25 une pluralite des modules logiciels F-PC implantes sur les ordinateurs 
personnels d'une pluralite d'utilisateurs. Le serveur Ssec permet ainsi la 
definition et le controle centralises des conditions d utilisation des services 
de securite offerts par les cartes remises aux differents utilisateurs, en 
fonction du profil de 1' application requerant les services et des droits 

30 desdits utilisateurs. La mise en place de cette politique centralisee 
implique done de stocker dans le serveur les informations necessaires. e'est- 
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a-dire les droits des utilisateurs d'utiliser tel service de securite en liaison 
avec telle application. 

Ce second mode d 'execution de la figure 2B, bien adapte aux 
environnements prives, est par contre difELcilement applicable a des 
applications ouvertes pour lesquelles la mise en place d'un serveur central 
securise Ssec n'est pas envisageable. 

La Figure 3 illustre un module terminal reprenant des principes 
d'architecture fonctionnelle similaires a ceux de la Figure 2B dans une 
forme de realisation differente, ne necessitant pas de serveur centralise. Le 
module terminal selon la deuxieme forme de realisation de la Figure 3 
presente un tres haut degre de securite, lui permettant airisi d'assurer 
directement la protection locale du logiciel filtre F. 

Dans le cas de la figure 3, le module terminal 1 se presente sous la 
forme d'un boitier, portable ou non, dont une face porte l'ecran d'affichage 4 
et le clavier 5 et dans lequel sont implantes des circuits electroniques, de 
preference de maniere telle que ceux-ci soient inaccessibles depuis 
1'exterieur. Le boitier 1 contient le lecteur 6 et presente une ouverture de 
reception de la carte a micro-circuit 31 dans le lecteur 6. Le mode 
d execution illustre par les Figures 3, 4A, 4B et 4C ne doit pas etre 
considere comme se limitant a un terminal dedie. La description qui suit 
peut tout a fait etre appliquee a un terminal construit autour d'un 
ordinateur personnel de type PC ou NC. 

Selpn un premier mode d f execution, illustre a la figure 4A, de cette 
deuxieme forme de realisation du module terminal de la figxire 3 t les 
circuits electroniques du module terminal 1 sont organises autour d'un 
microcontroleur standard 2 et d'un microprocesseur 3 securise, qui sont 
connectes entre eux par une liaison et implantes de maniere permanente 
dans le boitier du module 1. En variante, le microprocesseur 3 peut etre 
enfichable sur le module 1 au moyen d'un connecteur 41 represents en 
traits interrompus a la figure 4A. II est decrit ici un mode d'execution 
generique base sur un microcontroleur standard. Dans un mode d'execution 
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particulior qui sera decrit ulterieurement, le microcontroleur 2 peut en fait 
etre un PC 102 du type de celui presente dans la Figure 2B. 

Le microcontroleur standard 2 comprend une unite de traitement 2a, 
de la memoire temporaire (RAM) 2b, et de la memoire permanente (ROM) 
5 2c. II s'agit de preference d'un microprocesseur "monochip" dont le 
programme est masque dans la memoire permanente 2c et qui integrc dans 
un meme circuit integre des moyens de gestion ou pilotage d'interfaces 
standards, l'unite de traitement 2a et les memoires temporaire 2b et 
permanente 2c. 

10 Les interfaces ou peripheriques gerees par le microcontroleur 2 

comprennent notamment l'ecran 4 d'affichage de donnees, par exemple a 
cristaux liquides, le clavier 5 pour Introduction de donnees par un 
utilisateur, le lecteur 6 de carte a micro-circuit, une interface 7 de liaison 
externe, par exemple du type RS 232 ou PCM-CIA, une interface 8 de 

15 liaison par infrarouge, et un dispositif DTMF 9 pour la transmission de 
donnees sur une ligne telephonique. 

Les composants du module 1 comprennent egalement une horloge 10 
et une source 11 d'alimentation electrique des differents circuits et 
composants du module 1. La source 11 d'alimentation electrique peut etre 

20 constitute par des piles ou une batterie si le module 1 est portable et 
autonome . 

La tache du microcontroleur standard 2 est de gerer 
l'environnement, c'est-a-dire de piloter les interfaces 4-9 et l'horloge 10, 
ainsi que la source d'alimentation 11 pour alimenter selectivement le 
25 microprocesseur securise 3 en energie electrique dans le cas d'un module 1 
autonome. 

Le microcontroleur standard 2 necessite ainsi peu de puissance de 
calcul, peu do memoire temporaire (RAM) et pas de memoire semi- 
permanente (EPROM ou EEPROM). Le microcontroleur 2 est protege en 
30 ecriture du fait que ses programmes (pilotage d'interfaces et, commc decrit 
dans la suite, interpreter, gestion des horloges et de l'alimentation 
electrique, etc..) sont masques en memoire permanente 2c. Comme cela 
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apparaitra dans la suite, le microcontroleur standard 2 peut egalement 
contenir un ou plusieurs parametres secrets, sur la base desquels il peut 
etre authentifie par le microprocesseur securise du module terminal et/ou 
d'une carte a circuit integre. Ces secrets doivent done etre proteges en 
5 lecture et en ecriture. lis seront de preference stockes dans la memoire 
temporaire (RAM) d'un microprocesseur "mono chip", qui n'est accessible ni 
en ecriture, ni en ecriture depuis l'exterieur. Le microcontroleur standard 2 
peut egalement etre pourvu de fonctions de securite complementaires, par 
exemple pour interdire des fraudes telles que I'affichage de donnees 

10 differentes de celles provenant du microprocesseur 3. 

II s'agit par consequent d'un microcontroleur d ! un faible cout et 
ayant une faible consommation electrique, qui est particulierement adapte 
a un produit portable. Ce microcontroleur peut etre par exemple du type 
MSM 63180 de la Societe OKI. 

15 De preference, deux horloges sont prevues en 10 : une horloge a 

frequence basse 10a, par exemple de frequence 32,368 KHz et une horloge 
a frequence elevee 10b, pouvant aller de 1 MHz a 12 MHz par exemple Le 
microcontroleur 2 commande la connexion de son horloge systeme sur Tune 
ou l'autre de ces deux horloges. 

20 L'horloge lente 10a cadence un dispositif de temporisation 2d du 

microcontroleur 2 avec une periode de 0,5 s pour realiser une horloge temps 
reel dans le module 1. L'unite de traitement 2a peut egalement fonctionner 
a 1'aide de Thorloge lente 10a pour les fonctions ne necessitant pas de 
vitesse de calcul : dans ce cas Thorloge systeme du microcontroleur 2 est 

25 connectee sur Thorloge lente 10a et Thorloge rapide 10b est arretee. Ce 
mode de fonctionnement permet de limiter la consommation electrique du 
module 1, ce qui est avantageux si celui-ci est portable et alimente par une 
pile electrique. 

Le microprocesseur 3 securise en lecture et en ecriture comprend une 
30 unite centrale 3a et des memoires temporaire (RAM) 3b et permanente 
(ROM) 3c, ainsi qu'une memoire semi-permanente reprogrammable 
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electriquement (EEPROM ou Flash RAM par exemple) 3d pour le stockage, 
entre autres, des programmes d'application du module 1. 

Ce microprocesseur securise 3 est du type de ceux utilises dans les 
cartes a micro-circuit et il presente un nombre limite d'entrees et de sortie, 
5 ses bus internes etant inaccessibles depuis l'exterieur. De par sa 
fabrication, il integre d'autres mecanismes de securite propres a ce.type de 
microprocesseur et bien connus des specialistes de la technique, tels que 
matrice de securite, brouillage de memoire, controle de la frequence 
d'horloge, controle de la remise a zero (RESET), etc... 

10 Grace au fait que le microprocesseur 3 possede une memoire semi- 

permanente 3d, il est possible d'y charger depuis l'exterieur, par exemple a 
partir d'un serveur ou d'une carte a micro-circuit, un ou des programmes 
d'application. II est ainsi possible, en fonction des besoins, de faire evoluer 
la ou les applications (controle d'acces, transaction financieres et/ou 

15 commerciales, porte-monnaie electronique, etc..) auxquelles est destine le 
module 1. II est egalement possible, si la taille de la memoire semi- 
permanente 3d le permet, d'y implanter de nouvelles applications au cours 
de son utilisation. 

Selon la version choisie, le microprocesseur securise 3 peut assurer 

20 le calcul de fonctions cryptographiques requerant des calculs importants 
mis en ceuvre dans les algorithmes asymetriques de type RSA ou DSA, ou 
bien mettre en ceuvre des algorithmes plus simples, par exemple du type 
DES. 

Le microprocesseur securise 3 peut ctrc, par exemple : 
25 - un microprocesseur SIEMENS SLE44C160S, non cryptographique, 

dote de 14 Ko de memoire ROM et de 16 Ko de memoire EEPROM ; 

- un microprocesseur SGS THOMSON ST16CF54A cryptographique 
dote de 16 Ko de memoire ROM, de 4Ko de memoire EEPROM et de 480 
octets de memoire RAM ; 
30 - un microprocesseur PHILIPPS P83C858 cryptographique dote de 

20 Ko de memoire ROM et de 8 Ko de memoire EEPROM. 
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Le microprocesseur securise 3 est connecte, d'une part par la liaison 
12 au microcontroleur standard 2, d'autre part par des liaisons 13 et 14 a 
Tinterface externe 7 et au lecteur 6 de carte a micro -circuit par 
rintermediaire de commutateurs-adaptateurs d'interface 15 et 16 
respectivement. Les commutateurs-adaptateurs 15 et 16 sont commandes 
par le microcontroleur standard 2 via des liaisons 17 ct 18 respectivement. 

Le microcontroleur standard 2 comprend un programme 
d'interpretation ou interpreteur 20 (Fig. 4B et 4C) stocke dans la memoire 
ROM 2c et permettant a celui-ci d'executer des commandes generees par le 
logiciel de traduction des requetes de haut niveau faisant partie du ou des 
programmes d'application, comme cela sera decrit dans la suite Cet 
interpreteur 20 permet ainsi au(x) programme(s) d'application stocke (s) 
dans le microprocesseur securise 3 de piloter les interfaces 4-9 via la liaison 
12. Cependant, le ou les programmes d'application peuvent etre localises ct 
executes ailleurs que dans le microprocesseur 3 securise en lecture et en 
ecriture, par exemple dans une carte a micro-circuit 31 inseree dans 
rinterface 6, telle qu'une carte adaptee pour supporter des mecanismes de 
telechargement et d'execution des applications comme decrit dans la norme 
NF EN 726-3 intitulee "Cartes a circuit integre et terminaux pour les 
telecommunications. Partie 3 : Specifications de la carte independantes des 
applications". 

Les programmes d'application peuvent en outre, en fonction des 
regies de securite auxquelles ils sont soumis, etre distribues entre ces 
differentes localisations. 

Le schema fonctionnel de la figure 4B illustre une premiere 
configuration d'architecture logicielle du module 1 de la figure 4A dans 

laquelle 1'ensemble des programmes d'application Al t A2, An et des 

fonctions de securite (calcul de condense, algorithmes cryptograj>hiques 
symetriques tels que DES, triple DES, ou asymetriques tels que proposes 
par RSA) est mis en oeuvre dans le microprocesseur securise 3. ' 

Les applications nominees ci-dessus et dans la suite de la description 
Al } A2, An comprennent au minimum les filtres Fl, F2, Fn, et done 
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en particulier les logiciels de traduction des requetes emises par le ou les 
fournisseurs de services applicatifs FAp faisant partie de l'application 
principale 54 (Figure 8A). 

Le microcontroleur standard 2 gere l'environnement au moyen de 
5 differcnts programmes de gestion ou gestionnaires d'interface a savoir : 

- un gestionnaire 21 du lecteur ou interface 6 de carte a micro- 
circuit; 

- un gestionnaire 22 de l'interface 7 de liaison serie ; 

- un gestionnaire 23 du clavier 5 ; 

10 - un gestionnaire 24 de l'interface 8 de liaison par infraro-uge ; 

- un gestionnaire 25 de l'afficheur 4 ; 

- un gestionnaire 26 de l'horloge 10 et de la source d'alimentation 1 1; 

- un gestionnaire 27 de l'interface DTMF 9 ; 

- un gestionnaire 28 d'autres interface, dans rhypothese ou le 
15 module 1 comporte une ou des interfaces autres que celles representees a la 

figure 2. 

Ainsi, le microprocesseur securise 3 peut piloter les interfaces au 
mos'en de commandes qui sont interpretees par l'interpreteur 20 et 
executees par le microcontroleur standards grace aux gestionnaires 21-28. 

20 La figure 4C illustre une seconde configuration logicielle du module 

1 de la figure 4A dans laquelle une ou plusieurs applications Ax et une ou 
plusieurs fonctions cryptographiques Sx sont stockees dans ixne memoire 
reprogrammable 30a d'un microprocesseur securise 30 d'une carte a micro- 
circuit 31. Lorsque la carte 31 est introduite dans le lecteur 6, le 

25 microprocesseur 30 execute les applications Ax et les fonctions 
cryptographiques Sx, tandis que d'autres applications et fonctions de 
securite peuvent etre residentes dans et miscs en ceuvre par le 
microprocesseur securise 3 du module 1. C'est ainsi, par exemple, que le 
microprocesseur 30 de la carte 31 peut assurer une fonction de signature 

30 electronique dans l'hypothese ou le microprocesseur securise 3 n'integre 
pas un processeur de calcul dedie (cryptoprocesseur). Reciproquement, si le 
microprocesseur securise 3 integre un cryptoprocesseur, il est egalement 
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possible qu'une application presente dans la carte a micro-circuit 31 fasse 
appel a des commandes cryptographiques du module 1, commandes qui 
seront executees par le microprocesseur securise 3. 

Dans cette seconde configuration, qui pour le reste est identique a 
5 celle de la figure 4B, Tinterpreteur 20 joue vis-a-vis du microprocesseur 30 
le meme role que celui qu'il remplit vis-a-vis du microprocesseur securise 3. 
Le module 1 peut ainsi executer des applications differentes selon le type 
de carte 31a micro-circuit introduit dans le lecteur 6, par exemple : 

- une authentication de Tutilisatcur dans le cadre d'une transaction 
10 bancaire (consultation de compte, virement de fonds, etc..) effectuee via 

une ligne telephonique au moyen de Tinterface DTMF 9 ; 

- une consultation du solde d'un porte-monnaie electro xiique, ou le 
rechargement de ce porte-monnaie, a partir du module 1, lorsqu'une carte a 
micro-circuit 31 remplissant la fonction de porte-monnaie est introduite 

15 dans le lecteur 6. En outre, le module 1 permet de gerer plusieurs cartes 
porte-monnaie differentes : porte-monnaie bancaire, porte-monnaie 
specifique a une collectivite par exemple ; 

- lecture d'un dossier medical sur une carte medicale ; 

- lecture de points de fidelite sur une carte dans laquelle des points 
20 de fidelite sont attribues a un consommateur en fonction d'achats effectues, 

de sa participation a des operations de fidelisation de clientele, etc... 

Le mode d'execution decrit ci-dessus a la Figure 4A ainsi que les 
configurations logicielles presentees dans les Figures 4B et 4C 
s'appliquent, de maniere analogue, a un terminal construit autour d'un PC 

25 conventionnel equipe en outre du microprocesseur securise 3. Dans ce mode 
d'execution, le microcontroleur 2 correspond au PC 102 tcl qu T il est 
presente a la Figure 2A, Tunite de traitement 2a correspond au 
microprocesseur 102c du PC, et les memoires RAM 2b ct perrnanentes 2c 
correspondent respectivement a la memoire RAM 102d et au disque dur 

30 102b. De meme les entrees / sorties 102a du PC correspondent aux modules 
d'interfaces 7, 8 et 12 de la Figure 4A. La connexion entre le 
microprocesseur securise 3 et le PC 102 peut etre une liaison serie ou 
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parallele, ou bien encore une connexion au bus interne du PC, du type 
PCMCIA, ou une connexion directe sur la carte mere du PC. En variante, le 
microprocesseur securise 3 peut etre integre de maniere fixe, ou amovible 
via le connecteur 41, au clavier du PC. 
5 Dans cc cas, le module logiciel interpreteur 20 ainsi que les modules 

logiciels de gestion des peripheriques 20 a 26 et 28 sont irnplantcs et 
executes sur le PC. L'architecture fonctionnelle de ce mode d'execution est 
equivalente a celle presentee a la Figure 2B, le module interpreteur 20 
ainsi implante sur le PC assurant le meme role que le module interpreteur - 
10 I de la Figure 2B : il execute les commandes de pilotage des echanges avec 
l'utilisateur re?ues du logiciel filtre F lui-meme implante de maniere 
securise dans le microprocesseur 3 (Figure 4B) ou la carte a circuit integre 
30 (Figure 4C). 

Le schema de la figure 5 illustre un deuxieme mode d'execution de la 

15 deuxieme forme de realisation de Tinvention, dans lequel les circuits 
electroniques du module terminal 1 sont organises autour d'un seul 
microcontroleur 29 remplagant le microcontroleur 2 et le microprocesseur 3 
et pouvant offrir le meme type de protection physique et logique que les 
microprocesseurs congus pour les cartes a circuit integre. Ce 

20 microcontroleur gere Tensemble des moyens dinterfaces 4-9 du module 
terminal. II comporte une unite de traitement 29a, une memoire 
tempor aire (RAM) 29b, une memoire permanente (ROM) 29c et une 
memoire semi-permanente (EEPROM) 29d permettant le stockage du 
logiciel de traduction. Uunite de traitement 29a correspond a la fois a 

25 1'unite 2a de traitement de donnees permettant le pilotage des interfaces et 
a Tunite 3a de traitement permettant 1'execution du logiciel de traduction. 
De meme que precedemment. le module terminal 1 peut etre construit 
autour d'un ordinateur personnel PC 102 auquel serait conaecte au bus 
interne un microcontroleur securise 29 pilotant ainsi directernent l'ecran 

30 d'affichage 4 et le clavier 5 du PC. 

Dans une variante de realisation, la memoire dans laquelle est 
stockee le logiciel de traduction des requetes de haut niveau, memoire 
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volatile de type RAM avcc une alimentation de sauvegarde ou semi- 
permanente (EEPROM ou Flash RAM), peut etre externe au 
microcontroleur 29. Dans ce cas, le logiciel de traduction peut etre chiffre et 
signe, ou protege par un code de type MAC ("Message Authentication 
Code") de maniere a assurer a la fois son integrite et sa confidentialite. Le 
logiciel est lu par le microcontroleur 29, dechiffre puis execute. 

Selon un troisieme mode d 'execution, represents a la figure 6, de la 
deuxieme forme de realisation de l'invention, le module terminal 101 est 
depourvu de microprocesseur securise 3. Sur cette figure 6, les memes 
numeros de reference qu'a la figure 4A ont ete conserves pour designer les 
memes elements. Le microcontroleur 2 pilote l'interface 6 et le 
commutateur-adaptateur 5 pour permettre la connexion du 
microprocesseur securise 130 d'une carte a micro-circuit programmable 131 
presente dans Tinterface 6 avec Tinterface de liaison externe 7. Dans ce cas, 
Tensemble des applications A et des fonctions. cryptographiques C sont 
memorisees dans une memoire semi-permanente 130a (EEPROM ou Flash 
RAM) du microprocesseur securise 130 de la carte a micro-circuit 
programmable 131, et mises en oeuvre par ce dernier comme decrit a la 
figure 4C a propos des applications Ax et des fonctions cryptographiques 
Cx. 

Dans les exemples decrits precedemment, dans xxn but de 
simplification, le microprocesseur 30, 130 de la carte a circuit integre ainsi 
que le microprocesseur securise 3 eventuellement implante dans le module 
terminal comporte un seul port de communication. Ceci impliqiae que dans 
ces exemples, les echanges entre les differentes entites, a savoir 1'unite 
electroniquc 154 (figure 8) contenant Tapphcation principale, le 
microprocesseur securise 3 et le microprocesseur 30, 130 de la carte circuit 
integre se font a travers le microcontroleur 2 ou 29 du module terminal. 
Ces descriptions ne doivent pas etre considerees comme limitatives : 
d'autres mises en oeuvre peuvent etre envisagees dans le cadre de la 
presente invention. En effet, les microprocesseurs securises de carte a 
circuit integre actuellement disponibles, utilisables pour la carte elle meme 
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(microprocesseur 30, 130) ou dans le module terminal (microprocesseur 3), 
peuyent comporter deux ports de communication. Differentes formes de 
realisation optimisant les flux de communication sont done aisement 
envisageables avec ce type de microprocesseur. Dans le cas de la figure 4C, 
5 par exemple, un des ports de la carte a circuit integre 31 peut etre dedie au 
pilotage de l'interface utilisateur et done relie au microcontroleur 2, l'autre 
port etant relie a l'unite electronique comportant l'application principale 
moyennant une adaptation d 'interface appropriee. 

Suivant une caracteristique important© dc l'invention, un logicicl 

10 filtre est implante dans la memoire reprogrammable EEPROM associee au 
microprocesseur securise 3 ou 29 du module terminal 1 et/ou au 
microprocesseur securise 30, 130 de la carte 31, 131. Ce logiciel filtre 
traduit dc maniere connue les requetes de haut niveau en provenance du 
serveur Sap ou de l'ordinateur personnel PC en sequences de commandes 

15 elemeritaires executables par ces microprocesseurs (commandes qui sont 
notamment definies par la partie 4 de la norme ISO 7816-4). En outre, 
suivant l'invention, ce logiciel filtre traduit ces requetes de haut niveau en 
sequences d'echanges de donnees entre le module terminal 1, 101 et un 
utilisateur via les moyens d'interface tels que l'afficheur 4 et le clavier 5. 

20 Cette solution offre l'avantage de reduire considerablement le debit 

de donnees echange entre le module terminal 1, 101 et le serveur Sap ou le 
PC, mais requiert une implantation securisee du logiciel de traduction pour 
empecher que les instructions envoyees a la carte a micro-circuit soient 
modifiees. 

25 Ce logiciel filtre fait partie integrante de la partie du logiciel 

d'application implantee dans le module terminal 1 et/ou la carte 31, 131 ct 
il est done telechargeable. 

La figure 7 illustre l'architecture logicielle conventionnellc d'une 

carte a micro-circuit. 
30 Les differentes couches de logiciels sont representees par un bloc 43 

qui comprend une couche logicielle 44 "protocole de communication" 
permettant de recevoir des commandes. Ces commandes sont decodees par 
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une couche logicielle 45 "Interpretation commandos APDU" (APDU : 
"Application Protocol Data Unit" dont le role est d'orienter les commandes 
vers des modules de traitement qui peuvent etre : 

- un logiciel 46 de services de gestion de fichiers securises ; 
5 - un logiciel 47 de services cryptographiques ; 

- un ou d'autres logiciels d'application 48 

Les modules de traitement 46, 47, 48 s'appuient sur des services de 
base offerts par le sys ! ,ae d'exploitation 49 de la carte a micro-circuit. 

La figure 8A illustre 1'architecture logicielle d'un systeme de mise en 
10 oeuvre de transactions securisees faisant appel a des modules terminaux 1 
dotes d ! un microprocesseur securise 3, conformement au mode d'execution 
de Tinvention de la figure 4A. 

Le bloc 51 designe les logiciels executes par le microprocesseur 
securise 3 du module terminal 1, le bloc 52 les logiciels executes par le 
15 microcontroleur 2 ou PC 102 du module terminal 1, le bloc 5.3 les logiciels 
executes par le microprocesseur 30 d'une carte a micro-circuit 31, et le bloc 
54 le logiciel principal d'application, ou Fournisseur de services applicatifs, 
implante dans le serveur Sap ou un ordinateur personnel PC. 

Le bloc 51 est similaire au bloc 43 de la figure 7, c'est-a-dire que le 
20 microprocesseur securise 3 a une architecture semblable a celle d'une carte 
a circuit integre. Le bloc 51 comprend : 

- un logiciel 60 de protocole de communication. 

- un systeme d'exploitation 61 

- un bloc 62 representant la partie du logiciel d'application implantee 
25 dans le module terminal 1, cette partie du logiciel d'application etant 

essentieilement constitute du logiciel filtre precite. Differents modules 
logiciels de ce type correspondant a diffe rentes applications peuvent 
cohabiter dans le microprocesseur securise 3. 

- optionnellement, un logiciel 63 permettant d'assurer 
30 l'authentification du microcontroleur standard 2 par le microprocesseur 

securise 3 et 1 authentication du microprocesseur securise 3 du module 
terminal 1 par le microprocesseur 30 de la carte 31, 
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- un logiciel 64 dc gestion dc fichicr securise, 

- un logiciel 65 de services cryptographiques. 
Le bloc 52 comprend : 

- un logiciel 70 de protocole de communication ; 

5 - un interpreteur de commandes 71 correspondant au logicicl 20 des 

figures 4B et 4C ; 

- un logiciel d'authentification 72 permettant, en liaison avec le 
logiciel 63, l'authentification du microcontroleur standard 2 par le 
microprocesseur securise 3 du module terminal 1 ; 

10 - des logiciels 73 de gestion des ressources internes du 

microcontroleur 2 ; 

- des logiciels 74 de pilotage des interfaces avec l'utilisateur 
(gestionnaires 23 et 25 de l'ecran 4 et du clavier 5) ; 

- des logiciels 75 de pilotage des interfaces de communication 7, 8 et 
15 9 (gestionnaires 22, 24, 27) ; 

Enfin, le bloc 53 est similaire au bloc 43, mais ne comporte pas, dans 
l'exemple decrit par la figure 8A, de logiciel ^application ou filtre. II 
comprend : 

- un logiciel 80 de protocole de communication, 

20 - un logiciel 81 d'interpretation de commandes APDU, 

- un logiciel 82 de services de gestion de fichier securise (controle du 
PIN par exemple), 

un logiciel 83 de services cryptographiques (calculs 
cryptographiques symetriques a cles secretes ou asymetriques, a cles 
25 publiques et cles privees, etc..) permettant, entre autres, d'assurer, en 
liaison avec le logiciel 63, l'authentification du microprocesseur securise 3 
du module terminal 1 par le microprocesseur 30 de la carte 31, 

- le systeme Sexploitation 84 du microprocesseur 30 de la carte 31. 
Le protocole de communication 60, 70, 80 permet de gerer les 

30 echanges de donnees entre : 

- le microprocesseur 30 de la carte 31 et le microcontroleur standard 
2 ou PC 102 du module terminal 1 ; 
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- le microprocesseur securise 3 et le microcontroleur 2 du module 
terminal 1 ; 

- le microprocesseur securise 3 du module terminal 1 et le 
microprocesseur 30 de la carte 31. 

5 La figure 8B est une vue similaire a la figure 8A illustrant 

Tarchitecture logicielle du systeme dans le cas ou le module terminal 101 
ne comporte pas le microprocesseur securise 3, conformement au troisieme 
mode d'execution du deuxieme mode de realisation -de TinvGntion de la 
figure 6. 

10 Sur la figure 8B, le bloc 152 designe les logiciels executes par le 

microcontroleur 2 du module terminal 101, le bloc 153 les logiciels executes 
par le microprocesseur 130 d'une carte a micro-circuit programmable 131, 
et le bloc 154 le logiciel principal d'application implante dans le serveur 
Sap ou un ordinateur personnel PC. 

15 Le bloc 152 comprend les memes logiciels 70, 71 et 73 a 75 que le 

bloc 52 de la figure 7, et un bloc 76 qui est un logiciel d'authentification du 
microcontroleur standard 2 du module terminal 101 vis-a-vis du 
microprocesseur 130 de la carte 131. 

Le bloc 153 relatif au microprocesseur 130 de la .carte 131 comprend 

20 les logiciels 62 et 80 a 84 des blocs 51 et 53 de la figure 7, ainsi qu'un 
logiciel 77 permettant, en liaison avec le logiciel 76, d'assurer 
l'authentification du microcontroleur standard 2 du module terminal 101 
vis-a-vis du microprocesseur 130 de la carte 131. 

A la difference d'un systeme conventionnel, dans le systeme de 

25 transaction securisee selon l'invention, le logiciel filtre 62 qui traduit les 
requetes de haut niveau de l'application en commandos elementaires 
executables par une carte a micro-circuit est implante dans 
Tenvironnement utilisateur securise, c'est-a-dire soit dans le module 
terminal 1 (pour les applications A 1, A2 An des modes d'execution des 

30 figures 4A-4C et 5), soit dans une carte 31, 131 a memoire serni- 
permanente utilisable avec le module terminal 1, 101 (pour les applications 
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Ax du mode de realisation de la figure 4C et pour toutes les applications du 
mode de realisation de la figure 6). 

Outre sa fonction de gestion d'une carte a micro-circuit, ce logiciel 
filtre 62 gere les interactions avec l'utilisateur, c'est-a-dire les sequences 
5 d'echange de donnees entre un utilisateur et le module terminal qui sont 
requises dans le cadre d'une application, echanges qui ont lieu par 
l'intermediaire des moyens d'interface, a savoir l'ecran 4 et le clavier 5. II 
est a noter que 1'invention n'est pas limitee a l'utilisation d'un ecran et d'un 
clavier comme interfaces avec Tutilisateur et que tout autre type 
10 d'interface, par exemple vocale, presentant l'ergonomie requise, pourrait 
convenir. 

Grace a l'implantation securisee du logiciel filtre 62 dans le 
microprocesseur securise 3 ou 29 du module terminal 1 ou le 
microprocesseur 30, 130 de la carte a micro-circuit 31, 131, la securite des 
15 transactions est assuree. En effet, les cles et regies necessaires poui* 
acceder a des fichiers de la carte a micro-circuit 31, 131 son.t contenues 
dans le logiciel de traduction 62 et sont done inaccessibles a des tiers. 

Les fonctions remplies par le logiciel filtre 62 seront illustrees ci- 
apres en prenant Texemple d ! une application visant le commerce 
20 electronique. L'application met en ceuvre les entites suivantes : 

• un acheteur 

• un commergant, 

• une banque. 

Le commergant dispose d ! un serveur de commerce electronique Sap 
25 (serveur Web) accessible depuis le reseau Internet. Les ackieteurs sont 
equipes de: 

• un ordinateur PC permettant d'acceder au serveur Sap de commerce 
electronique, et grace auquel Tacheteur peut consulter un catalogue de 
marchandises. 

30 • une carte a circuit integre 31 delivree par la banque et dont le 
microprocesseur 30 contient une cle privee, mais ne dispose pas de 
capacites cryptographiques permettant d'effectuer une signature, 
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• un module terminal 1 selon le mode de realisation de la figure 4A, dote 
d'un microcontroleur standard 2, d'un microprocesseur securise 3 
disposant de capacites cryptographiques permettant la signature d'un 
message, d'un clavier 5, d'un afficheur 4, d'une interface carte a circuit 
5 integre 6 et d'une interface serie 7 pour sa connexion a un ordinateur 

PC. 

Les principes de fonctionnement sont les suivants : la transaction est 
signee par le module terminal 1 a l'aide d'une cle privee detenue par la 
carte 31. Cette cle privee = est protegee par un code porteur confidentiel 

10 (PIN) que 1'acheteur doit saisir en milieu securise, done sur le terminal 1, 
et par une authentication prealable du terminal 1 par la carte 31a l'aide 
d'une cle secrete Kauth. De plus la cle privee est transmise de maniere 
chiffree (par une cle Kchif) de maniere a etablir un canal de communication 
securise entre le microprocesseur 30 de la carte a circuit integree 31 et le 

15 microprocesseur securise 3 du terminal 1. 

La figure 9 illustre les echanges entre les differentes entites : 

a. 1'acheteur constitue sa commande sur Pordinateur PC, 

b. Tordinateur PC eiabore la transaction a faire signer par Tacheteur 
(reference article, prix) et demande la signature de cette transaction au 

20 module terminal 1, 

c. le module terminal verifie l'origine de la demande de signature puis 
sollicite la saisie du code PIN par affichage d'un message "saisie PIN" sur 
son afficheur 4, 

d. 1'acheteur saisit son code porteur (code PIN) sur le clavier 5 du module 
25 terminal 1, 

e. le PIN est envoye par le module terminal 1 a la carte 31 pour 
verification. Cette verification etant positive, elle provoque la levee d'une 
de deux conditions d'acces a la lecture de la cle privee, 

f. le module terminal 1 affiche la transaction sur son afficheur 4, 

30 g. 1'acheteur donne son accord, par appui sur unc touche "validation 11 du 
clavier 5 du module terminal 1, 
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h. le module terminal 1 soumet une demande d'authentification extcrnc a 
la carte 31. Cette authentification externe permet au microprocesseur 
securise 3 du module terminal 1 de s'authentifier vis-a-vis du 
microprocesseur 30 de la carte 31 et de lever ainsi la deuxieme protection 

5 d'adfees a la cle privee. Cette authentification se fait en mode 
challenge/reponse sur la base d'un secret., Kauth, part age par le module 
terminal 1 et la carte 31, 

i. le module terminal 1 envoie une demande de lecture de cle privee a la 
carte 31, 

10 j. toutes les conditions d'acces etant remplies, la carte 31 accepte la 
demande de lecture, et renvoie la cle privee, chiffree par une cle secrete, 
Kchif, partagee par la carte 31 et le module terminal 1, 

k. le module terminal 1 dechiffre la cle privee, signe la transaction au 
.moyen.de la cle privee, detruit la cle privee, se deconnecte de la carte 31 et 
15 envoie e la transaction signee a I'ordinateur PC qui la transmet au serveur 
S. 

Cet exemple peut etre transpose aisement a une transaction 
electronique effectuee sans ordinateur PC, le module terminal 1 se 
connectant direetement a un serveur Sap par une liaison modern (figure 3), 
20 1'acheteur entrant la commande (reference produit) sur le module terminal 
1. 

II est a noter que l'authentification du microprocesseur securise 3 
par la carte peut aussi etre effcctue a travers la commande de lecture de cle 
privee en lui associant un code d'authentification MAC (Message 

25 Authentification Code) calcule au moyen d'une cle secrete. 

Cet exemple montre que le logiciel filtre 62 permet do traduire une 
requete de haut niveau "demande de signature de transaction" en une 
multitude de requetes elementaires adressees aux differentes interfaces du 
module terminal 1, a savoir interface 6 avec la carte a circuit integxe 31, 

30 Tinterface afficheur 4, Tinterface clavier 5, Tinterface de connexion a 
I'ordinateur PC ou au serveur Sap. 


BMSDOCID: <FH 2779018A1_I_> 


2779018 

41 

Un tel logiciel filtre de traduction a un role d'ecran, de filtre entre le 
monde extcrieur, c'est a dire les applications, et les peripheriques qu'il 
gere. 

II ameliore la securite offerte du fait que : 
5 1. il impose un sequencement aux ordres elementaires envoyes. Par 

exemple, dans le cas illustre ci-dessus, il impose que la transaction soit 
validee par 1'utilisateur avant d'etre signee. 

2. il dispose seul des parametres secrets permettant de generer et 
: d'authentifier ces ordres elementaires. Ainsi il dispose, seul des cles 
10 d'authentification et de chiffxement permettant de lire et decbufirer la cle 
privee. 

Lorsque le logiciel filtre est execute dans le microprocesseur securise 
3 du module terminal 1, ces proprietes permettent d'imposer une politique 
d'acces a la carte 31, politique qui n'est pas toujours completement imposee 
15 par la carte elle-meme, ou d'etendre les capacites d'une carte (capacite de 
signature deleguee au module terminal, utilisation dans un contexte non 
prevu lors de son deploiement initial). 

Les avantages offerts en terme de securite par l'execution du logiciel 
filtre dans le microprocesseur securise du module terminal ou dans celui de 
20 la carte a circuit integre ne sont possibles que parce que le logiciel s'execute 
dans un environnement securise permettant d'assurer que : 
• les secrets contenus par le logiciel filtre ne sont pas accessibles du fait 
qu f ils sont memorises au sein du microprocesseur securise 3, 29, 30 ou 
130, 

25 • la confidentialite et Tintegrite du logiciel filtre soni preserves, du fait 
que ce logiciel est memorise dans la microprocesseur securise 3, 29, 30 
ou 130. 

Dans le cas ou le module terminal 1 est un produit dedie, disposant 
de ses propres interfaces, afficheur 4 et clavier 5, Tobjectif de securite est 
30 atteint grace au fait que le logiciel pilotant les echanges de donnees avec 
Tutilisateur ne peut etre modifie, dans la mesure ou il est stocke de 
maniere definitive dans la memoire permanente 2c du microcorttroleur 2 ou 
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de maniere securisee dans le microcontroleur 29. L'utilisateur peut ainsi 
valider en toute confiance le contenu de sa transaction grace a l'afficheur 4 
et au clavier 5, rendant optionnel la necessite de verifier 1'identite de 
l'application ou l'origine et l'integrite des requetes. 
5 D'autres mecanismes peuvent encore ameliorer le niveau de securite 

de la chaine de confiance entre le microprocesseur securise de la carte a 
circuit integre, 1'eventuel microprocesseur securise du module terminal le 
microcontroleur standard ou le PC du module terminal et 1'utilisateur. Ces 
mecanismes sont les suivants : 
10 A) telechargement securise du logiciel filtre ; 

B) authentification du microcontroleur standard par le 
microprocesseur securise ou, ce qui est equivalent mais mieux adapte dans 
le cas dun mode d'execution du terminal autour dun PC, authentification 
du module logiciel interpreter I (20) par le logiciel filtre F (62), et/ou 

15 etablissement d'un canal de communication securisee entre ces deux 
microprocesseurs ou les logiciels I et F, 

C) protection d'un secret par le microcontroleur standard , 

D) authentification mutuelle et etablissement d'un canal de 
communication securise entre le microprocesseur securise de la carte a 

20 circuit integre et le microprocesseur securise du module terminal, 

E) authentification du module terminal , et eventuellement du 
couple module terminal-carte, 

F) authentification de la carte a micro-circuit par le module 
terminal. 

25 A) Telechargement securise du logiciel filtre 

L/organigramme dc la figure 10 illustre le processus de 
telechargement d f un programme ^application (logiciel filtre) dans le 
microprocesseur securise 3 ou 29 du module 1 ou le microprocesseur 
securise 30, 130, d'une carte 31, 131 presente dans le lecteur 6. Ce 
30 telechargement peut etre effectue a partir d ! un serveur Sap via, par 
exemple, l'ordinateur personnel PC et Tinterface 7 de liaison externe ou 
l'interface 8 de liaison infrarouge, ou directement au moyen d'une liaison 
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telephonique grace a l'interface 9 de liaison par DTMF. Le tele char gement 
peut egalement etre effectue dans le microprocesseur sccurise 3 ou 29 (si le 
module terminal en est equipe) a partir d'une carte a micro-circuit 
introduite dans le lecteur 6. 
5 A l'etape 32, la zone de la memoire 3d allouee au programme 

d'application a recevoir est vide et le microprocesseur 3 est en attente du 
chargement du programme d'application a la suite d'une requete de 
chargement. 

L'etape suivantc 33 correspond a une procedure d'authe ratification 
10 par le microprocesseur 3 de lentite appelee a telecharger le programme 
d'application (Emetteur). Cette procedure d'authentification peut faire 
appel, par exemple, a des mecanismes de chiffrement bien connus des 
specialistes de la technique, par exemple des mecanismes syrnctriques a 
cles secretes partagees ou des mecanismes asymetriques a cle privee et cle 
15 publique. 

L'etape 34 est un test visant a determiner si la procedure 
d'authentification a reussi : dans la negative, le message "acces refuse" est 
affiche sur Vecran 4 (etape 42) et le programme retoume a l'etape 32; dans 
Taffirmative, le processus de chargement du programme d'application 

20 commence a l'etape 35. 

L'etape 36 correspond au stockage dans la memoire EEPROM 3d des 
trames de donnees transmises par Tentite assurant le telechargement. 

L'etape 37 est un test pour determiner si le telechargement est 
acheve : dans la negative, le programme de telechargement revient a 

25 l'etape 36 et le telechargement se poursuit ; dans Taffirmative, il est 
procede a l'etape 38 a une verification de l'integrite des donnees regues par 
le microprocesseur 3. A cet effet, un code d'authentification de message 
(MAC) peut etre associe au programme telecharge pour permettre de 
verifier non seulement son integrite, mais egalement son origine. Le MAC 

30 peut etre produit en utilisant un mecanisme dc cryptographie symetrique 
(DES en mode chaine CBC). La verification de Torigine et de l'integrite 
peut aussi etre realisee a Taide d'un mecanisme de cryptographie 
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asymetrique : un condense du logiciel telecharge est signe par l'emetteur a 
l'aide de sa cle privee ; le microprocesseur securise 3 verifie ensuite la 
signature a l'aide de la cle publique de l'emetteur. 

II est a noter que dans ce dernier exemple, la cle publique par 
5 principe ne necessite pas de rester confidentielle. Cependant la securite 
apportee par le microprocesseur assure 1'integrite du logiciel, empechant 
un fraudeur de modifier le logiciel pour supprimer la verification de 
signature ou simplement de substituer a la cle publique initialement 
prevue une cle publique pour laquelle il connaitrait la cle privee associee. : 

10 Si d'apres le test 39, il s'avere que les donnees recues sont correctes, 

un drapeau indiquant que le programme ^application recu est valide est. 
elabore a Tetape 40. Dans le cas contraire, le programme de 
telechargement revient a 1'etape 32 de depart. 

Ce processus de chargement du logiciel d'application, done du logiciel 

15 filtre, dans la memoire reprogrammable securisee (3d, 30a, 130a suivant le 
mode de realisation), comporte des mecanismes permettant de confirmer 
1'origine et 1'integrite des donnees recues de l'emetteur du logiciel. Ceci 
permet d'interdire le telechargement par un fraudeur d'un logiciel filtre qui 
serait susceptible de mettre en oeuvre des transactions dans le module 

20 terminal 1, 101 a l'insu de 1'utilisateur. 

B) Authentification du module logiciel interpreteur I, 20, 71 par le 
logiciel filtre F, 62 ou, ce qui est equivalent dans le mode 
d'execution correspondant, authentification du microcontrdleur 
standard 2 par le microprocesseur securise, et/ou etablissement 

25 d'un canal de communication securise entre ces deux logiciels ou 
ces deux microprocesseurs. 

Pour qu'un utilisateur puisse avoir une totale confiance dans le 
module terminal au moyen duquel il effectue des transactions, il est 
necessaire : 

30 - d'authentifier les donnees transmises du logiciel interpreteur 20, 

71au microprocesseur securise 3, 30 ou 130 executant le logiciel filtre ; 
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- d'assurer que les donnees transmises par le logiciel filtre pour etre 
affichees par Tintermediaire du logiciel interpreteur du modulo terminal 1, 
101 possede par l'utilisate-ur ne peuvent l'etre que par celui-ci. 

Lorsque les moyens de pilotage des echanges de donnees avec 
l'utilisateur, c'est a dire le logiciel interpreteur 20, 71, sont irnplantes de 
maniere fixe et non modifiable dans le module terminal 1, 101, comme par 
exemple dans la memoire ROM 2c du microcontroleur standard 2, 
l'authentification du module logiciel est equivalente a lauthentification du 
microcontroleur. 

De me me, lorsque le logiciel filtre est implante de maniere a ne pas 
pouvoir etre modifie par une personne non autorisee, dans des moyens de 
traitement securises tels que le microprocesseur securise 3, la carte a 
circuit integre ou bien le serveur securise Ssec, une authentification 
effectuee par ces moyens securises est equivalente a une authentification 
effectue par le logiciel filtre lui-meme. 

Dans la description qui suit, nous decrirons les mecanismes 
d'authentification des moyens logiciels de pilotage des interfaces ou logiciel 
interpreteur 20, 71 par le logiciel filtre. 

Differentes solutions permettent de remplir ces conditions. 
Une premiere solution consiste a chiffrer toutes les donnees 
echangees entre le le logiciel interpreteur 20, 71 et le logiciel filtre. 

Une deuxieme solution consiste a faire proceder a TauthLcntification 
du logiciel interpreteur 20 ( 71 par le le logiciel filtre et/ou a etablir un canal 
de communication securise entre ces deux logiciels. 

Ces deux solutions impliquent necessaircment qu'au moins un 
parametre secret connu du logiciel filtre F, 62, soit stocke dans le logiciel 
interpreteur 20, 71. 

Selon la deuxieme solution, le logiciel filtre F, 62 authentifie le 
logiciel interpreteur 20, 71, selon un processus conventionnel 
d'authentification, sur la base d'une information transmise par le logiciel 
interpreteur 20, 71, et combinee avec le parametre secret. Avx niveau du 
logiciel interpreteur 20, 71, cette procedure d'authentification est mise en 
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ceuvre par le logiciel 72 (figure 8A) ou le logiciel 76 (figure 8B), suivant la 
forme de realisation du module terminal. 

Ce mecanisme d'authentification peut egalement s'appliquer aux 
messages echanges entre les deux logiciels pour construire des codes 
5 d'authentification des messages permcttant de garantir l'origine et 
l'integrite de chaque message transmis. 

Dans le cas du mode dexecution decrit a la Figure 4A, cette solution 
requiert cependant que, de preference, une protection physique de la 
liaison entre les deux microprocesseurs soit assuree pour interdire a un 
10 fraudeur de lire les donnees echangees, et en particulier le code 
d'identification personnel (PIN) de la carte que Tutilisateur peut etre 
amene a introduire via le clavier 5 pour la mise en oeuvre des transactions. 

C) Protection d'un parametre secret par le microcontroleur 
standard 2 

15 La description precedente montre la necessite de stocker au moins 

un parametre secret dans le logiciel interpreteur. Le mode d'execution du 
terminal a partir d'un PC, dans lequel le logiciel interpreteur est execute 
sur le PC lui-meme, offre done de par la securite limitee du PC un degre de 
securite limite bien que suffisant pour empecher un virus de se substituer 

20 au logiciel interpreteur. Un degre de securite superieur est obtenu en 
implantant le logiciel interpreteur dans la ROM 2c du microcontroleur 
standard 2 Pour ameliorer la securite, le parametre secret du 
microcontroleur 2 pourra etre stocke dans la memoire temporaire, et cela a 
la fabrication du produit ou, eventuellement, lors de Vinsertion du 

25 microprocesseur securise 3 s'il est amovible, ou d ! une carte a circuit integre. 
Ccttc operation a pour but d'etablir une confiance entre les deux 
microprocesseurs. Toute precaution utile doit etre prise lors de cette 
operation pour s'assurer de l'authenticite du microcontroleur 2 (operation 
effectuee en usine, operation protegee par des cles dites de transport elles- 

30 memes stockees dans la memoire temporaire du microcontroleur 2 en 
usine, et dont la connaissance conditionne Toperation ^initialisation dudit 
parametre secret). En outre des mecanismes conventionnels de detection 
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d'intrusion (contacts...) scront mis en place, pour provoquer l'effacement de 
la memoire temporaire en cas d'intrusion (coupure alimentation...). 

D) Authentification mutuelle et etablissement d'un canal de 
communication securise entre le microprocesseur de la carte a 

5 circuit integre et le microprocesseur securise du module terminal 
Cette authentification mutuelle et l'etablissement du canal de 
communication securisee sont realises par la mise en oeuvre de 
mccanismes identiques a ceux utilises entre le microcontroleur standard 2 
et le microprocesseur securise executant le logiciel filtre comrne decrit au 
10 point B) ci-dessus. 

E) Authentification du module terminal 

II est important de se premunir vis-a-vis de toute attaque contre 
l'ensemble clavier 5, afficheur 4, microprocesseur securise 3, visant par 
exemple a effectuei* des contrefagons de module terminal , a substituer un 
15 module terminal par un module terminal contrefait dans . le but de 
recuperer des informations saisies par Tutilisateur (espionnage clavier), 
d'acceder aux secrets d'une carte a circuit integre, d'effectuer des fausses 
signatures. 

Pour cela, il pourra etre ajoute un mecanisme permettant a 
20 1'utilisateur d f authentifier son terminal. 

Cet objectif est atteint grace a un processus de personnalisation 
automatique. 

Authentification du module terminal seul 

La personnalisation peut consister en le calcul d'un mot de passe 

25 facile a se rappeler genere et affiche par le terminal en fonction des 
paramctres secrets contenus par le ou les microprocesseurs du terminal, 
lorsque 1'utilisateur introduit un PIN. Si le terminal comporte par exemple 
deux microprocesseurs, le mot de passe est stocke dans le microprocesseur 
securise, chiffre par le PIN et une cle secrete X, puis transmis au 

30 microcontroleur 2 pour dechiffrement avec la cle X stockee cgalcment dans 
le microcontroleur 2 et le PIN introduit par Tutilisateur. Ce mecanisme 
vise a se premunir contre la substitution de Tun des deux microprocesseurs. 
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Le memo principe peut etre applique a un couple carte/terminal a 
chaque fois qu'une carte a micro-circuit est utilisee avec le module 
terminal. La personnalisation peut consister par exemple en le calcul, au 
moyen du logiciel de traduction, d'un mot de passe base sur une 
5 information secrete contenue dans le microprocesseur securise de la carte 
et d'une ou plusieurs informations secretes contenues dans module 
terminal. Le meme principe que celui decrit ci-dessus peut etre utilise pour 
calculer le mot de passe. Ce mot de passe, genere lors de la premiere 
utilisation du module terminal en conjonction avec la carte et connu de 
10 l'utilisateur, est affiche sur l'ecran 4 lors des utilisations subsequentes du 
module terminal avec la carte. L'utilisateur peut ainsi le verifier et avoir 
ainsi 1'assurance que le terminal en sa possession, constitue du module 
terminal couple a la carte, est bien authentique. 

F) Authentication de la carte a micro-circuit par le module 
15 terminal 

Pour accroitre encore la securite du systeme de transaction suivant 
1'invention, un processus conventionnel d'authentification peut etre mis en 
oeuvre afin d'assurer l'authentification par le module terminal 1, 101 de la 
carte a micro-circuit utilisee. Un tel processus d'authentification permet 

20 notamment d'eviter que le numero d'identification personnel (PIN) de 
Tutilisateur, que celui-ci introduit dans le module 1, 101 par le clavier 5 
pour executer une transaction securisee, soit capture par une carte falsifiee 
qui aurait ete substitute par un fraudeur a la carte authentique de 
l'utilisateur puis que ce fraudeur recupererait pour lire le PIN sur la carte 

25 falsifiee. L'authentification peut, par exemple, etre effectiaee par un 
mecanisme classique de type defi / reponse au moyen d'un socret partage 
entre la carte et le module terminal en utilisant une cryptographie 
symetrique ou bien, comme cela a deja ete decrit precedemment, au moyen 
d'une ele privee stockee par la carte permettant le chiffrement du defi ou 

30 challenge a laide d'un algorithme asymetrique, le modiale terminal 
verifiant la reponse a laide de sa cle publique. 
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L'architecture du systeme de transaction ainsi que les rnecanismes 
de securisation decrits ci-dessus conferent une tres grande securite aux 
transactions effectuees au moyen du module terminal 1, 101. 

Ce module terminal permet : 

- grace au clavier 5, a l'ecran 4 et a la protection des donnees 
echangees avec Putilisateur, d'etendre la nature des services reellement 
securises que peut fournir une carte a micro-circuit ; 

- d'utiliser la carte dans le contexte d'un environnement non securise 
(ordinateur personnel PC susceptible d'etre affecte . par des virus ou 
programmes pirates), en 1'isolant hermetiquement de cet environnement 
grace a une architecture logicielle et/ou materielle qui controle strictement 
l'acces a la carte, c'est a dire qui controle les commandes erxvoyees aux 
fonctions cryptographiqucs contcnues dans la carte. 

Le module terminal peut revetir differentes formes telles que : 

• un lecteur de carte a circuit integre, connectable a un ordinateur via 
differentes interfaces (PCMCIA...) ou non (connexion a un serveur via 
modem uniquement) ; 

• un ordinateur (PC) dont les interfaces utilisateur sont constitutes par 
l'ecran. -et le clavier du PC, et qui comporte un lecteur de carte a circuit 
integre. Ce PC inclura des moyens logiciels et / ou materiels (tels qu'un 
second microprocesseur securise, le microcontroleur standard etant 
constitue par le PC) pour assurer Tintegrite et la confide ntialite du 
logiciel filtre. Par ordinateur on entend un ordinateur de type PC, mais 
egalement un PDA (" Personal Digital Assistant " ou Assistant 
Numerique Personnel) ; 

• un clavier, eventuellement muni d'un ecran d'affichage LCD, dans lequel 
est integre un microprocesseur securise et une interface carte a circuit 
integre ; 

• un telephone muni eventuellement d'un afficheur, dans lequel est 
integre un microprocesseur securise et une interface carte a circuit 
integre ; 
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un decodeur (set-top box) de reseau cable de TV integrant un lecteur ce 
carte a circuit integre connecte a un poste de television, le postc de 
television, un clavier ou eventuellement la telecommande associe au 
decodeur ou a la television servant de moyens d'interface avec 
rutilisateur ; 

plus generalement tout equipement securisable par l'integration d'un 
microprocesseur securise dans lequel pourra etre installee une 
application dite sensible, ou par l'integration d'une interface carte a 
circuit integre permettant le pilotage dudit equipement par une 
application deportee dans une carte a circuit integre. 

L'ensemble de la description precedente decrit un terminal destine a 
etre utilise avec une carte a circuit integre. La carte a laquelle il est fait 
reference est en fait un outil permettant la misc en oeuvre de fonctions 
cryptographiques et personnalise par rapport a un utilisateuj au moyen 
d'au moins un secret. II est evident que l'objet de l'invention ne se limite 
pas a un outil de forme donnee tel que celui de la carte a circuit integie. 
L'invention couvre aussi la mise en oeuvre de dispositifs personnels de 
securite pouvant offrir des fonctions equivalent.es a celle d'xme carte a 
circuit integre, mais presentes sous une forme differente, tels que les 
produits " iButton ", " Java Ring " ou jeton (" token ")• 
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REVINDICATIONS 
1. Terminal pour la mise en oeuvre, par un utilisateur, de 
transactions electroniques securisees en liaison avec au moins une 
5 application implantee sur une unite electronique, ledit terminal 
comprenant : 

- un module terminal comportant au moins : 

* des premiers moyens d f interface avec ladite application pour 
en recevoir des requetes relatives auxdites transactions, 

10 * des deuxiemes moyens d'interf ace avec ledit utilisateur, 

* des troisiemes moyens d'interface avec un dispositif 
personnel de securite, 

* des premiers moyens de traitement de donnees comprenant 
au moins des premiers moyens logiciels de pilotage desdits moyens 

15 d'interface, et 

- un dispositif personnel de securite comportant au moins des 
deuxiemes moyens de traitement de donnees securises comprenant au 
moins des deuxiemes moyens logiciels d'execution de commandes 
elementaires et des moyens d'execution de calculs cryptographiques, 

20 caracterise en ce que : 

- ledit terminal (1, 31 ; 101, 131) est adapte pour recevoir lesdites 
requetes de ladite application (Fap) implantee sur la ditc unite 
electronique (Sap ; PC) sous la forme de requetes de haut niveau 
independantes dudit dispositif personnel de securite, 

25 - l'un au moins dudit module terminal (1 ; 101) et dudit dispositif 

personnel dc securite comprend : 

* au moins une memoire reprogrammable (3d ; 30a ; 102b ; 130a ; 
Ssec) de stockage d'au moins un logiciel filtre (F, 62), traduisant lesdites 
requetes de haut niveau en sequences d'echange de donnees entre ledit 

30 module terminal (1 ; 101) et ledit utilisateur via lesdits seconds moyens 
d'interface (4, 5), executables par lesdits premiers moyens logiciels (I, 20, 
71) desdits premiers moyens de traitement de donnees (2 ; 29 ; 102), et 
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en sequences do cornmandes elementaires executables par lesdits 
deuxiemes moyens logiciels (80-84) desdits deuxiemes moyens de 
traitement de donnees (30 ; 130), et 

* des moyens de protection dudit logiciel filtre (F, 62), pour 
5 empecher toute lecture et / ou modification dudit logiciel par une 
personne non autorisee, et 

- Tun au moins desdits premiers et deuxiemes moyens de 
traitement de donnees (3 ; 29 , 30 ; 102 ; 130 ; Ssec) comprend un 
. dispositif de traitement de donnees pour Texecution dudit logiciel filtre 
10 (F, 62). 

2. Terminal selon la revendication 1, caracterise en ce que ledit 
dispositif d'execution du logiciel filtre comprend des premiers moyens 
^identification et /ou d'authentification de ladite application (Fap) 
implantee dans ladite unite (Sap; PC) ou de Torigine desdites requetes 
15 emises par ladite application. 

3. Terminal selon la revendications 2, caracterise en ce que ledit 
dispositif de traitement de donnees pour l'execution dudit logiciel filtre (F, 
62) comprend des moyens de verification de l'integrite des donnees revues 
de ladite application (Fap). 
20 4. Terminal selon Tune quelconque des revendications l a 3, 

caracterise en ce que ledit dispositif de traitement de donnees pour 
l'execution dudit logiciel filtre (F, 62) comprend des moyens centralises 
(Ssec) de controle des conditions d'utilisation des services du dispositif 
personnel de securite (31) en fonction de ladite application (Fap) et / ou de 
25 Tutilisateur. 

5. Terminal selon Tune quelconque des revendications 1 a 4, 
caracterise en ce que ledit dispositif de traitement de donnees pour 
l'execution dudit logiciel filtre (F, 62) comprend : 

- des moyens pour commander le chargement securise dudit logiciel 
30 filtre dans ladite memoire programmable, via Tun desdits premiers ou 
troisiemes moyens d f interface, a partir d'une entite exterieure audit 
module, et 
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- des premiers moyens de controle d'acccs pour n'aixtoriscr ledit 
chargement dudit logiciel filtre qu'en reponse a au moins une condition 
predefinie. 

6. Terminal selon Tune quelconque des revendications 1 a 5, 
5 caracterise en ce qu'il comprend des deuxiemes moyens d'autlientification 

desdits premiers moyens de traitement de donnees (2 ; 3 ; 29 ; Ssec) par 
lesdits deuxiemes moyens de traitement de donnees (30 ; 130). 

7. Terminal selon Tune quelconque des revendications 1 a 6, 
caracterise en ce qu'il comprend des. troisiemes moyens d'authentification 

10 desdits deuxiemes moyens de traitement de donnees (30 ; 130) par lesdits 
premiers moyens de traitement de donnees (3 ; 29). 

8. Terminal selon Tune quelconque des revendications 6 et 7, 
caracterise en ce qu'il comprend un premier canal de communication (6) 
entre lesdits premiers (2 ; 3 ; 29) et deuxiemes (30 ; 130) moyens de 

15 traitement de donnees et des premiers moyens de securisation dudit 
premier canal de communication. 

9. Terminal selon Tune quelconque des revendications 1 a 8, 
caracterise en ce qu f il comprend des quatriemes moyens d'autlientification 
dudit module terminal (1 ; 101) par ledit utilisateur, independarnment de 

20 ladite carte (31 ; 131). 

10. Terminal selon la revendication 9, caracterise en ce que lesdits 
quatriemes moyens d'authentification comprennent des moyens de calcul, 
par lesdits premiers moyens de traitement de donnees (2 ; 3 ; 29), et de 
presentation audit utilisateur, via lesdits deuxiemes moyens d'interface (4), 

25 d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 
un premier parametre secret stocke dans lesdits premiers moyens de 
traitement de donnees (2 ; 3 ; 29). 

11. Terminal selon Tune quelconque des revendications 1 a 10, 
caracterise en ce qu'il comprend des cinquiemes moyens d'authentification 

30 conjointe dudit module terminal (1 ; 101) et do ladite carte (31 ; 131) par 
ledit utilisateur. 
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12. Terminal selon la revendication 11, caracterise en cc que lesdits 
cinquiemes moyens d'authentification comprennent des moyens de calcul, 
par ledit dispositif d'execution dudit logiciel filtre (3 ; 29 ; 31 ; 131), et de 
presentation audit utilisateur, via lesdits deuxiemes moyens d'interface (4), 

5 d'un mot de passe connu dudit utilisateur et calcule sur la base d'au moins 
un deuxieme et un troisieme parametres secrets stockes respectivement 
dans lesdits premiers (2 ; 3 ; 29) et deuxiemes (30 ; 130) moyens de 
traitement de donnees. 

13. Terminal selon Tune quelconquc des revendications 1 a 12, 
10 caracterise en ce que ledit module terminal (1) comporte ladite memoire 

programmable (3d) pour le chargement et le stockage dudit logiciel filtre 
(F, 62). 

14. Terminal selon la revendication 13, caracterise en ce que lesdits 
premiers moyens de traitement de donnees comprennent uin premier 

15 microprocesseur (2 ; 102) de pilotage desdits moyens d'interface (4-9) 
programme grace auxdits premiers moyens logiciels (20, 71) de pilotage 
desdits moyens d'interface pour executer des commandes, generees par 
ledit logiciel filtre (F,62), pour la mise en oeuvre desdites sequences 
d'echanges de donnees entre ledit module terminal (1) et ledit utilisateur, 

20 et un deuxieme microprocesseur securise (3) du type pour carte a circuit 
integre dispose dans ledit module terminal et comportant ladite memoire 
programmable (3d), ledit second microprocesseur (3) executant ledit logiciel 
filtre (F, 62) pour le pilotage desdites sequences d'echanges de donnees au 
moyen desdites commandes transmises audit premier microprocesseur (2) 

25 et pour l'application desdites sequences de commandes elementaires 
auxdits deuxiemes moyens de traitement de donnees. 

15. Terminal selon la revendication 14, caracterise en ce que lesdits 
premiers moyens logiciels (20, 71) de pilotage des moyens d'interface 
comportent au moins un quatrieme parametre secret, ledit deuxieme 

30 microprocesseur (3) ctant commande par ledit logiciel filtre (F, 62) pour 
authentifier lesdits premiers .moyens logiciels (20, 71) de pilotage des 
moyens d'interface sur la base d'une information transmise par ledit 
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premier microprocesseur (2) et combinee au moins avec ledit quatrierne 
parametre secret. 

16. Terminal selon la revendication 15, caracterise en ce qu'il 
comprend un deuxieme canal de communication (12) entre lesdLits premiers 

5 moyens logiciels (20, 71) de pilotage des moyens d'interface et ledit 
deuxieme microprocesseur (3) et des deuxiemes moyens de securisation 
dudit deuxieme canal de communication. 

17. Terminal selon la revendication 16, caracterise en ce que lesdits 
deuxiemes moyens de securisation comprennent des moyens de chiffrement 

10 et dechiffrement, par lesdits premiers moyens logiciels (20, 71) de pilotage 
des moyens d'interface et ledit deuxieme microprocesseur (3), des donnees 
transmises sur ledit deuxieme canal de communication (12), sur la base 
d'au moins un cinquieme parametre secret memorise dans lesdits moyens 
de stockage (2b, 3d). 

15 18. Terminal selon Tune quelconque des revendications 16 et 17, 

caracterise en ce que lesdits deuxiemes moyens de securisation 
comprennent des premiers moyens physiques de protection dudit deuxieme 
canal de communication (12) contre les intrusions. 

19: Terminal selon Tune quelconque des revendications 15 a 18, 

20 caracterise en ce que ledit premier microprocesseur (2) comporte une 
rnemoire temporaire (2b) pour le stockage dudit parametre secret et des 
deuxiemes moyens physiques de protection de ladite rnemoire temporaire 
(2b) contre les intrusions. 

20. Terminal selon Tune quelconque des revendications 14 a 19, 
25 caracterise en ce que ledit deuxieme microprocesseur (2) est un 

microcontroleur. 

21. Terminal selon la revendication 13, caracterise en ce que lesdits 
premiers moyens de traitement de donnees comprennent ledit dispositif 
d'execution du logiciel filtre et sont constitues par un microprocesseur 

30 securise (29) adapte pour : 

* executer ledit logiciel filtre (F, 62) de traduction des requetes de 
haut niveau, 
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* transformer ces requetes de haut niveau en sequences d'echanges 

de donnees avec l'utilisateur et en sequences de commandes 

elementaires executables par lesdits deuxiemes moyens logicxels 

desdits deuxiemes moyens de traitement de donnees (31), 

5 * piloter lesdits moyens d'interface (4-9) grace aux commandes 

generees par ledit logiciel filtre, pour la mise en ceuvre desdites 

sequences d'echanges entre ledit module terminal (1) et ledit 

utilisateur. 

22. Terminal selon la revendication 21, caracterise on ce que ledit = 
10 microprocesseur (29) comporte ladite memoire programmable. 

23. Terminal selon la revendication 21, caracterise en ce que ladite 
memoire programmable est externe audit microprocesseur (29). 

24. Terminal selon la revendication 23, caracterise en co que ledit 
logiciel filtre (F, 62) est stocke sous forme chiffree dans ladite memoire 

15 programmable et en ce que ledit microprocesseur (29) comprend des 
moyens pour lire, dechiffrer et executer ledit logiciel filtre. 

25. Terminal selon Tune quelconque des revendications 14 a 24, 
caracterise en ce que lesdits deuxiemes moyens de traitement de donnees 
dudit dispositif personnel de . securite (31) comprennent egalement un ■ 

20 dispositif (30) d'execution securisee d'un logiciel filtre et une memoire 
programmable (30a) pour le chargement et le stockage dudit logiciel filtre 
(62), lesdits premiers moyens logiciels desdits premiers moyens de 
traitement de donnees etant adaptes pour recevoir lesdites commandes 
pour la mise en oeuvre desdites sequences d'echange de donnees 

25 indifferemment de l'un ou l'autre desdits dispositifs (3 ; 29 ; 31) d'execution 
de logiciel filtre implantes dans ledit module et ledit dispositif personnel de 
securite respectivement. 

26. Terminal selon Tune quelconque des revendications 13 a 25, 

caracterise en ce que : 
30 - ledit logiciel filtre (F, 62) comprend au moins un parametre secret, 

- lesdits deuxiemes moyens de traitement (30) de donnees 
comprennent des seconds moyens de controle d'acces conditionnels pour 
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n'autoriser Texecution desdits calculs cryptographiques, en reponsc a dcs 

commandes elementaires generees par ledit logiciel filtre (F, 62), que si au 

moins une seconde condition predefinie, fonction dudit parametre secret est 

re nip lie. 

5 27. Terminal selon l'une quelconque des revendications 1 a 12, 

caracterise en ce que ledit dispositif personnel de securite (131) comporte 
ladite memoire programmable (130a) pour le chargement et le stockage 
dudit logiciel filtre (F, 62). 

28. Terminal selon la revendication 27, caracterise en ce que lesdits 
10 premiers moyens de traitement de donnees comprennent un premier 

microprocesseur (2 ; 102) de pilotage desdits moyens d'interface (4-9) 
programme grace auxdits premiers moyens logiciels (20, 71)) du pilotage 
desdits moyens d'interface pour executer des commandes, generees par 
ledit logiciel filtre (F,62), pour la mise en ceuvre desdits sequences 

15 d'echanges de donnees entre ledit module terminal (1) et ledit utilisateur, 
et lesdits deuxiemes moyens de traitement de donnees comprennent un 
deuxieme microprocesseur securise (130) du type pour carte a circuit 
integre dispose dans ledit dispositif personnel de securite (131) et 
comportant ladite memoire programmable (130a), ledit second 

20 microprocesseur (130) executant ledit logiciel filtre (F, 62) pour le pilotage 
dcsdites sequences d'echanges de donnees au moyen de commandes 
transmises audit premier microprocesseur (2 ; 102), ainsi que lesdites 
commandes elementaires. 

29. Terminal selon les revendications 6 et 28, caracterise en ce que 
25 lesdits premiers moyens logiciels (20, 71) de pilotage desdits moyens 

d'interface comportent au moins un parametre secret et ledit second 
microprocesseur (130) de ladite carte (131) est commande par ledit logiciel 
de traduction (62) pour authentifier ledit premier microprocesseur (2) sur 
la base d'une information transmise par ledit premier microprocesseur (2) 
30 et combinee au moins avec ledit parametre secret. 

30. Terminal selon Tune quelconque des revendications 28 et 29, 
caracterise en ce que ledit deuxieme microprocesseur (130) dudit dispositif 
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personnel de securite (131) est adapte pour commander le chargement 
dudit logiciel filtre (F, 62) dans ladite memoire programmable (130a) via 
lesdits premiers moyens d'interface (7-9) et lesdits troisiemes moyens (6) 
d'interface avec ledit dispositif personnel de securite (131). 
5 31. Terminal selon Tune quelconque des revendications 13 a 30, 

caracterise en ce que ledit module terminal (1 ; 101) est constitue par un 
lecteur de carte a circuit integre et ledit dispositif personnel de securite est 
une carte a circuit integre (31 ; 131). 

32. Terminal selon la revendication 13 : , caracterise en ce que ledit 
10 module terminal (1) comprend un ordinateur personnel (102) et en ce que 

ladite memoire reprogrammable est constitute par le disque dur (102b) 
dudit ordinateur. 

33. Terminal selon la revendication 32 et l'une quelconque des 
revendications 14 a 17, caracterise en ce que ledit premier microprocesseur 

15 est constitue par le microprocesseur (102c) dudit ordinateur personnel 
(102), ledit ordinateur personnel (102) etant en outre interface audit 
microprocesseur securise (3). 

34. Terminal selon la revendication 32, caracterise en ce que ledit 
logiciel filtre (F) comprend un . premier module de 

20 chargement/dechiffrement (Fed) et un deuxieme module chiffre (Fchi) pour 
ladite traduction des requetes de haut niveau, ledit premier module (Fed) 
commandant le chargement dudit deuxieme module (Fchi) en memoire 
RAM dudit ordinateur (102) et son dechiffrement pour l'execution dudit 
logiciel filtre par ledit ordinateur. 

25 35. Terminal selon la revendication 32, caracterise en ce que ledit 

logiciel filtre (F) comprend au moins un premier module (F-PC) implante 
sur ledit ordinateur personnel (102) et au moins un deuxieme module (F- 
SE) implante sur un serveur de securite (Ssec), ledit ordinateur personnel 
(102) et ledit serveur de securite (Ssec) etant connectes par un canal de 

30 communication securise (CS) permettant un echange de donnees protege 
entre lesdits modules. 
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36. Terminal scion Tunc quelconque des revendications 32 a 35, 
caracterise en ce que ledit dispositif personnel de securite (31) est une carte 
a circuit integre. 

37. Systeme pour la mise en oeuvre de transactions securisee, 
5 caracterise en ce qu'il comprend au moins un terminal (1, 31 ; 101, 131) 

selon Tune quelconque des revendications 1 a 36, et au moirts une unite 
electronique (Sap ; PC) comportant des moyens pour transmettre lesdites 
requetes de haut niveau audit terminal (1, 31 ; 101, 131). 

38. Systeme selon la revendication 37, caracterise en ce qu'il 
10 comprend une pluralite de terminaux (1, 31 ; 101, 131), au moins un 

serveur (S) constituant ladite unite electronique, et des moyens (CR) de 
transmission de donnees numeriques entre ledit serveur (S) et lesdits 
terminaux. 
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